CA IdentityMinder - Konfigurationshandbuch - CA Technologies

CA IdentityMinderKonfigurationshandbuchr12.6.1

Diese Dokumentation, die eingebettete Hilfesysteme und elektronisch verteilte Materialien beinhaltet (im Folgenden als"Dokumentation” bezeichnet), dient ausschließlich zu Informationszwecken des Nutzers und kann von CA jederzeit geändertoder zurückgenommen werden.Diese Dokumentation darf ohne vorherige schriftliche Genehmigung von CA weder vollständig noch auszugsweise kopiert,übertragen, vervielfältigt, veröffentlicht, geändert oder dupliziert werden. Diese Dokumentation enthält vertrauliche undfirmeneigene Informationen von CA und darf vom Nutzer nicht weitergegeben oder zu anderen Zwecken verwendet werden alszu denen, die (i) in einer separaten Vereinbarung zwischen dem Nutzer und CA über die Verwendung der CA-Software, auf diesich die Dokumentation bezieht, zugelassen sind, oder die (ii) in einer separaten Vertraulichkeitsvereinbarung zwischen demNutzer und CA festgehalten wurden.Ungeachtet der oben genannten Bestimmungen ist der Benutzer, der über eine Lizenz für das bzw. die in dieser Dokumentationberücksichtigten Software-Produkt(e) verfügt, berechtigt, eine angemessene Anzahl an Kopien dieser Dokumentation zumeigenen innerbetrieblichen Gebrauch im Zusammenhang mit der betreffenden Software auszudrucken, vorausgesetzt, dassjedes Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enthält.Dieses Recht zum Drucken oder anderweitigen Anfertigen einer Kopie der Dokumentation beschränkt sich auf den Zeitraum dervollen Wirksamkeit der Produktlizenz. Sollte die Lizenz aus irgendeinem Grund enden, bestätigt der Lizenznehmer gegenüberCA schriftlich, dass alle Kopien oder Teilkopien der Dokumentation an CA zurückgegeben oder vernichtet worden sind.SOWEIT NACH ANWENDBAREM RECHT ERLAUBT, STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNEJEGLICHE GEWÄHRLEISTUNG ZUR VERFÜ GUNG; DAZU GEHÖ REN INSBESONDERE STILLSCHWEIGENDE GEWÄHRLEISTUNGENDER MARKTTAUGLICHKEIT, DER EIGNUNG FÜ R EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN. INKEINEM FALL HAFTET CA GEGENÜ BER IHNEN ODER DRITTEN GEGENÜ BER FÜ R VERLUSTE ODER UNMITTELBARE ODERMITTELBARE SCHÄDEN, DIE AUS DER NUTZUNG DIESER DOKUMENTATION ENTSTEHEN; DAZU GEHÖ REN INSBESONDEREENTGANGENE GEWINNE, VERLORENGEGANGENE INVESTITIONEN, BETRIEBSUNTERBRECHUNG, VERLUST VON GOODWILL ODERDATENVERLUST, SELBST WENN CA Ü BER DIE MÖ GLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE.Die Verwendung aller in der Dokumentation aufgeführten Software-Produkte unterliegt den entsprechendenLizenzvereinbarungen, und diese werden durch die Bedingungen dieser rechtlichen Hinweise in keiner Weise verändert.Diese Dokumentation wurde von CA hergestellt.Zur Verfügung gestellt mit „Restricted Rights“ (eingeschränkten Rechten) geliefert. Die Verwendung, Duplizierung oderVeröffentlichung durch die US-Regierung unterliegt den in FAR, Absätze 12.212, 52.227-14 und 52.227-19(c)(1) bis (2) undDFARS, Absatz 252.227-7014(b)(3) festgelegten Einschränkungen, soweit anwendbar, oder deren Nachfolgebestimmungen.Copyright © 2013 CA. Alle Rechte vorbehalten. Alle Marken, Produktnamen, Dienstleistungsmarken oder Logos, auf die hierverwiesen wird, sind Eigentum der entsprechenden Rechtsinhaber.

Technischer Support – KontaktinformationenWenn Sie technische Unterstützung für dieses Produkt benötigen, wenden Sie sich anden Technischen Support unter http://www.ca.com/worldwide. Dort finden Sie eineListe mit Standorten und Telefonnummern sowie Informationen zu den Bürozeiten.CA Technologies-ProduktreferenzenDieses Dokument bezieht sich auf die folgenden CA-Produkte:■ CA IdentityMinder■ CA SiteMinder®■ CA Directory■ CA Berichte zu Benutzeraktivitäten■ CA GovernanceMinder

InhaltKapitel 1: Einführung in CA IdentityMinder-Umgebungen 13Komponenten der CA IdentityMinder-Umgebung ..................................................................................................... 13Mehrere CA IdentityMinder-Umgebungen ................................................................................................................ 15CA IdentityMinder-Management-Konsole ................................................................................................................. 16Zugreifen auf die CA IdentityMinder-Management-Konsole ..................................................................................... 16So wird eine CA IdentityMinder-Umgebung erstellt .................................................................................................. 17Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 19Ü bersicht des Beispiels einer CA IdentityMinder-Umgebung .................................................................................... 19So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriert ................................................................... 20LDAP-Verzeichnisstruktur für NeteAuto ............................................................................................................. 20Relationale Datenbank für NeteAuto .................................................................................................................. 21Erforderliche Software für NeteAuto .................................................................................................................. 22Installationsdateien für die NeteAuto-Umgebung .............................................................................................. 22Installieren Sie die NeteAuto-Umgebung............................................................................................................ 23Konfigurieren Sie ein LDAP-Benutzerverzeichnis. ............................................................................................... 23Konfigurieren einer relationalen Datenbank ...................................................................................................... 24Erstellen des CA IdentityMinder-Verzeichnisses ................................................................................................. 25Erstellen der NeteAuto-CA IdentityMinder-Umgebung ...................................................................................... 27So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriert ................................................................. 30Beschreibung der CA IdentityMinder-Beispielumgebung ................................................................................... 30Installationsdateien für die NeteAuto-Umgebung .............................................................................................. 31So wird die NeteAuto-Umgebung installiert - Ohne Organisations-Support ...................................................... 32Erforderliche Software ........................................................................................................................................ 33Konfigurieren einer relationalen Datenbank ...................................................................................................... 33Erstellen des CA IdentityMinder-Verzeichnisses ................................................................................................. 34Erstellen der NeteAuto-CA IdentityMinder-Umgebung ...................................................................................... 36So wird die NeteAuto-CA IdentityMinder-Umgebung verwendet ............................................................................. 37Verwaltung der Self-Service-Aufgaben ............................................................................................................... 38Benutzerverwaltung ............................................................................................................................................ 41So werden zusätzliche Funktionen konfiguriert ......................................................................................................... 46Einschränkung beim SiteMinder-Anmeldenamen für globalen Benutzernamen ...................................................... 46Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 47CA IdentityMinder-Verzeichnisse ............................................................................................................................... 47So erstellen Sie ein CA IdentityMinder-Verzeichnis ................................................................................................... 48Inhalt 5

Verzeichnisstruktur .................................................................................................................................................... 48Verzeichniskonfigurationsdatei .................................................................................................................................. 50So wählen Sie eine Verzeichnis-Konfigurations-Vorlage aus ..................................................................................... 51So wird ein Benutzerverzeichnis für CA IdentityMinder beschrieben ....................................................................... 53So wird die Verzeichniskonfigurationsdatei geändert ........................................................................................ 53Verbindung zum Benutzerverzeichnis ........................................................................................................................ 54Provider-Element ................................................................................................................................................ 55Verzeichnissuchparameter ......................................................................................................................................... 58Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten Objekte ............................................... 60Beschreibung von verwalteten Objekten ............................................................................................................ 60Attributbeschreibungen ...................................................................................................................................... 65Verwalten vertraulicher Attribute ...................................................................................................................... 71CA Directory - Ü berlegungen .............................................................................................................................. 77Microsoft Active Directory-Ü berlegungen .......................................................................................................... 78IBM-Verzeichnisserver-Ü berlegungen ................................................................................................................ 78Oracle Internet Directory-Ü berlegungen ............................................................................................................ 79Bekannte Attribute für einen LDAP-Benutzerspeicher .............................................................................................. 79Bekannte Attribute für Benutzer ........................................................................................................................ 80Bekannte Attribute für Gruppen ......................................................................................................................... 83Bekannte Attribute zur Organisation .................................................................................................................. 85Attribut %ADMIN_ROLE_CONSTRAINT% ............................................................................................................ 86Konfigurieren von bekannten Attributen ............................................................................................................ 86Beschreiben der Benutzerverzeichnisstruktur ........................................................................................................... 87So beschreiben Sie eine hierarchische Verzeichnisstruktur ................................................................................ 87So beschreiben Sie eine flache Benutzerverzeichnisstruktur ............................................................................. 87So beschreiben Sie eine flache Verzeichnisstruktur ........................................................................................... 87So beschreiben Sie ein Benutzerverzeichnis, das keine Organisationen unterstützt ......................................... 88So konfigurieren Sie Gruppen .................................................................................................................................... 88Konfigurieren von selbstabonnierenden Gruppen ............................................................................................. 88Konfigurieren von dynamischen und verschachtelten Gruppen ........................................................................ 89Hinzufügen von Unterstützung für Gruppen als Gruppenadministrator ............................................................ 91Validierungsregeln ..................................................................................................................................................... 91Zusätzliche Eigenschaften des CA IdentityMinder-Verzeichnisses............................................................................. 92Konfigurieren der Sortierreihenfolge .................................................................................................................. 92Suchen über mehrere Objektklassen .................................................................................................................. 93Angeben der Wartezeit für Replikationen .......................................................................................................... 94Angeben von LDAP-Verbindungseinstellungen................................................................................................... 95So verbessern Sie die Leistung von Verzeichnissuchen.............................................................................................. 96So verbessern Sie die Leistung von großen Suchen ............................................................................................ 97Konfigurieren von Paging-Unterstützung für Sun Java System Directory Server ................................................ 99Konfigurieren von Paging-Unterstützung für Active Directory ......................................................................... 1006 Konfigurationshandbuch

Kapitel 4: Verwaltung relationaler Datenbanken 103CA IdentityMinder-Verzeichnisse ............................................................................................................................. 103Wichtige Hinweise für die Konfiguration von CA IdentityMinder für relationale Datenbanken ............................. 105Erstellen einer Oracle-Datenquelle für WebSphere ................................................................................................. 106So erstellen Sie ein CA IdentityMinder-Verzeichnis ................................................................................................. 107So erstellen Sie eine JDBC-Datenquelle ................................................................................................................... 107Erstellen einer JDBC-Datenquelle für JBoss-Anwendungsserver ...................................................................... 108Erstellen einer JDBC-Datenquelle für WebLogic ............................................................................................... 111WebSphere-Datenquellen................................................................................................................................. 112So erstellen Sie eine ODBC-Datenquelle für die Verwendung mit SiteMinder ........................................................ 115So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei ......................................................... 115Ändern der Verzeichniskonfigurationsdatei ..................................................................................................... 117Beschreibung von verwalteten Objekten .......................................................................................................... 118So ändern Sie Attributbeschreibungen ............................................................................................................. 123Verbindung zum Benutzerverzeichnis ...................................................................................................................... 138Beschreibung einer Datenbankverbindung....................................................................................................... 139SQL-Abfrageschemen ........................................................................................................................................ 142Bekannte Attribute für eine relationale Datenbank ................................................................................................ 144Bekannte Attribute für Benutzer ...................................................................................................................... 145Bekannte Attribute für Gruppen ....................................................................................................................... 147Attribut %Admin_Role_Constraint% ................................................................................................................. 148Konfigurieren von bekannten Attributen .......................................................................................................... 149So konfigurieren Sie selbstabonnierende Gruppen ................................................................................................. 149Validierungsregeln ................................................................................................................................................... 151Organisationsverwaltung ......................................................................................................................................... 151So richten Sie die Unterstützung von Organisationen ein ................................................................................ 151Konfigurieren der Unterstützung von Organisationen in der Datenbank ......................................................... 152Spezifikation der Stammorganisation ............................................................................................................... 152Bekannte Attribute für Organisationen ............................................................................................................ 153So definieren Sie die Organisationshierarchie .................................................................................................. 154So verbessern Sie die Leistung von Verzeichnissuchen............................................................................................ 154So verbessern Sie die Leistung von großen Suchen .......................................................................................... 155Kapitel 5: CA IdentityMinder-Verzeichnisse 157Voraussetzungen zum Erstellen eines CA IdentityMinder-Verzeichnisses .............................................................. 157So erstellen Sie ein Verzeichnis ................................................................................................................................ 158Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-Assistenten ................................................. 158Starten des Verzeichniskonfigurations-Assistenten .......................................................................................... 159Bildschirm "Select Directory Template" (Verzeichnisvorlage auswählen) ........................................................ 161Fenster "Verbindungsdetails" ........................................................................................................................... 161Konfigurieren des Fensters der verwalteten Objekte ....................................................................................... 164Inhalt 7

Erstellen von Rollen und Aufgaben für dynamische Endpunkte ....................................................................... 221Ändern des Systemmanager-Kontos ........................................................................................................................ 221Aufrufen des Status einer CA IdentityMinder-Umgebung ....................................................................................... 223Fehlerbehebung in CA IdentityMinder-Umgebungen ....................................................................................... 224Kapitel 7: Erweiterte Einstellungen 227Ü berprüfung ............................................................................................................................................................. 227Business Logic Task-Handler .................................................................................................................................... 228Automatisches Löschen von Kennwortfeldern beim Zurücksetzen des Benutzerkennworts ........................... 229Ereignisliste .............................................................................................................................................................. 229E-Mail-Benachrichtigungen ...................................................................................................................................... 230Ereignis-Listener ....................................................................................................................................................... 230Identitätsrichtlinien .................................................................................................................................................. 231Logical-Attribute-Handler ......................................................................................................................................... 231Sonstiges .................................................................................................................................................................. 232Benachrichtigungsregeln .......................................................................................................................................... 233Organisationsauswahl .............................................................................................................................................. 233Bereitstellung ........................................................................................................................................................... 234Bereitstellungsverzeichnis ................................................................................................................................ 235Ermöglichen der Erstellung von Sitzungspools ................................................................................................. 235Ermöglichen der Kennwortsynchronisierung .................................................................................................... 236Zuordnungen von Attributen ............................................................................................................................ 236Eingehende Zuordnungen ................................................................................................................................. 236Ausgehende Zuordnungen ................................................................................................................................ 237Benutzerkonsole ...................................................................................................................................................... 237Webservices ............................................................................................................................................................. 239Workflow Properties (Workflow-Eigenschaften) ..................................................................................................... 240Work Item Delegation (Arbeitselement delegieren) ................................................................................................ 240Workflow Participant Resolvers (Workflow-Teilnehmer-Resolver) ......................................................................... 241Importieren/Exportieren von benutzerdefinierten Einstellungen ........................................................................... 241Fehler wegen unzureichendem Speicher in Java Virtual Machine ........................................................................... 242Kapitel 8: Überprüfung 243Audit-Daten .............................................................................................................................................................. 243So konfigurieren Sie die Ü berprüfung ...................................................................................................................... 243Konfigurieren von Auditeinstellungen .............................................................................................................. 244Auditeinstellungsdatei ...................................................................................................................................... 245So aktivieren Sie die Ü berprüfung für eine Aufgabe ......................................................................................... 254So konfigurieren Sie CA IdentityMinder für die Ü berprüfung der Anmeldungs- undAbmeldungsereignisse von Benutzern .............................................................................................................. 255Bereinigen der Audit-Datenbank ............................................................................................................................. 256Inhalt 9

Kapitel 9: Produktionsumgebungen 257So migrieren Sie Admin-Rollen und Aufgabendefinitionen ..................................................................................... 257So exportieren Sie Admin-Rollen und Aufgabendefinitionen ........................................................................... 258So importieren Sie Admin-Rollen und Aufgabendefinitionen ........................................................................... 258So prüfen Sie den Rollen- und Aufgabenimport ............................................................................................... 259So migrieren Sie CA IdentityMinder-Designs ........................................................................................................... 259Aktualisieren von CA IdentityMinder in einer Produktionsumgebung .................................................................... 260So migrieren Sie eine CA IdentityMinder-Umgebung ....................................................................................... 260So exportieren Sie eine CA IdentityMinder-Umgebung .................................................................................... 261So importieren Sie eine CA IdentityMinder-Umgebung ................................................................................... 262So prüfen Sie die Migration einer CA IdentityMinder-Umgebung .................................................................... 262Migrieren der Datei "iam_im.ear" für JBoss ............................................................................................................ 262Migrieren der Datei "iam_im.ear" für WebLogic ..................................................................................................... 263Migrieren der Datei "iam_im.ear" für WebSphere .................................................................................................. 264Migrieren von Workflow-Prozessdefinitionen ......................................................................................................... 266Exportieren von Prozessdefinitionen ................................................................................................................ 266Importieren von Prozessdefinitionen ............................................................................................................... 267Kapitel 10: CA IdentityMinder-Protokolle 269So verfolgen Sie Probleme in CA IdentityMinder ..................................................................................................... 269So verfolgen Sie Komponenten und Datenfelder ..................................................................................................... 271Kapitel 11: CA IdentityMinder-Schutz 275Sicherheit an der Benutzerkonsole .......................................................................................................................... 275Sicherheit an der Management-Konsole .................................................................................................................. 276Hinzufügen zusätzlicher Administratoren zur Management-Konsole .............................................................. 277Deaktivieren der systemeigenen Sicherheit für die Management-Konsole ..................................................... 278Schützen der Management-Konsole mit SiteMinder ........................................................................................ 278Schützen einer vorhandenen Umgebung nach einem Upgrade ....................................................................... 280Schutz vor CSRF-Angriffen ........................................................................................................................................ 281Kapitel 12: Integration von CA SiteMinder 283SiteMinder und CA IdentityMinder .......................................................................................................................... 284So schützen Sie Ressourcen ..................................................................................................................................... 285Ü bersicht über die Integration von SiteMinder und CA IdentityMinder.................................................................. 286Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinder ............................................................. 290Konfigurieren einer relationalen Datenbank .................................................................................................... 291Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server ........................................... 291Konfigurieren von Microsoft Active Directory .................................................................................................. 29210 Konfigurationshandbuch

Konfigurieren von Microsoft ADAM .................................................................................................................. 293Konfigurieren von CA Directory Server ............................................................................................................. 293Konfigurieren von Novell eDirectory Server ..................................................................................................... 295Konfigurieren von Oracle Internet Directory (OID) ........................................................................................... 296Prüfen des Richtlinienspeichers ........................................................................................................................ 296Importieren des CA IdentityMinder-Schemas in den Richtlinienspeicher ............................................................... 297Erstellen eines SiteMinder 4.X-Agentenobjekts ....................................................................................................... 297Exportieren der CA IdentityMinder-Verzeichnisse und Umgebungen ..................................................................... 299Löschen aller Verzeichnis- und Umgebungsdefinitionen ......................................................................................... 300Aktivieren des SiteMinder-Richtlinienserver-Ressourcenadapters.......................................................................... 301Deaktivieren des systemeigenen CA IdentityMinder-Framework-Authentifizierungsfilter ..................................... 302Neustarten des Anwendungsservers ....................................................................................................................... 303Konfigurieren einer Datenquelle für SiteMinder ..................................................................................................... 303Importieren der Verzeichnisdefinitionen ................................................................................................................. 304Aktualisieren und Importieren von Umgebungsdefinitionen .................................................................................. 305Installieren des Web-Proxyserver-Plug-ins .............................................................................................................. 305Installieren des Proxy-Plug-ins auf WebSphere ................................................................................................ 306Installieren Sie das Proxy-Plug-in für JBoss. ...................................................................................................... 314Installieren des Proxy-Plug-ins auf WebLogic ................................................................................................... 318Zuordnen des SiteMinder-Agenten zu einer CA IdentityMinder-Domäne ............................................................... 326Konfigurieren des SiteMinder-Parameters "LogOffUrI" ........................................................................................... 327Fehlerbehebung ....................................................................................................................................................... 327Fehlende Windows-DLL..................................................................................................................................... 328Falscher SiteMinder-Richtlinienserver-Speicherort .......................................................................................... 328Falscher Admin-Name ....................................................................................................................................... 329Falscher geheimer Admin-Schlüssel .................................................................................................................. 330Falscher Agentenname ..................................................................................................................................... 331Falscher geheimer Agentenschlüssel ................................................................................................................ 332Kein Benutzerkontext in CA IdentityMinder ..................................................................................................... 333Fehler beim Laden der Umgebungen ................................................................................................................ 335CA IdentityMinder-Verzeichnis oder -Umgebung kann nicht erstellt werden .................................................. 336Benutzer kann sich nicht anmelden .................................................................................................................. 337So konfigurieren Sie CA IdentityMinder-Agent-Einstellungen ................................................................................. 337Konfigurieren der SiteMinder-Hochverfügbarkeit ................................................................................................... 338Ändern der Richtlinienserver-Verbindungseinstellungen ................................................................................. 339Hinzufügen von mehreren Richtlinienservern .................................................................................................. 340Auswählen von Lastenausgleich oder Failover ................................................................................................. 340Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder-Bereitstellung ............................................ 341SiteMinder-Vorgänge ............................................................................................................................................... 341Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefiniertenAuthentifizierungsschemas ............................................................................................................................... 342Importieren von Datendefinitionen in den Richtlinienspeicher ....................................................................... 344Inhalt 11

Planen von Zugriffsrollen .................................................................................................................................. 345Konfigurieren des LogOff-URI ........................................................................................................................... 360Aliasnamen in SiteMinder-Bereichen................................................................................................................ 362Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen Schlüssels .............................................. 363Konfigurieren einer CA IdentityMinder-Umgebung zur Verwendung von unterschiedlichenVerzeichnissen für Authentifizierung und Autorisierung .................................................................................. 365So verbessern Sie die Leistung von LDAP-Verzeichnisvorgängen ..................................................................... 367Anhang A: FIPS 140-2-Kompatibilität 369 Ü bersicht ...................................................................................................................................................... 369Kommunikation ........................................................................................................................................................ 370Installation ................................................................................................................................................................ 370Herstellen einer Verbindung mit SiteMinder ........................................................................................................... 371Schlüsseldatei-Speicherung ...................................................................................................................................... 371Das Kennwort-Tool ................................................................................................................................................... 372FIPS-Modus-Erkennung ............................................................................................................................................ 374Verschlüsselte Textformate ..................................................................................................................................... 375Verschlüsselte Informationen .................................................................................................................................. 375FIPS-Modus-Protokollierung .................................................................................................................................... 375Anhang B: Ersetzen von CA IdentityMinder Zertifikate durchSHA-2-signierte SSL-Zertifikate 377Nützliche Befehle ..................................................................................................................................................... 380Index 38312 Konfigurationshandbuch

Kapitel 1: Einführung in CAIdentityMinder-UmgebungenDieses Kapitel enthält folgende Themen:Komponenten der CA IdentityMinder-Umgebung (siehe Seite 13)Mehrere CA IdentityMinder-Umgebungen (siehe Seite 15)CA IdentityMinder-Management-Konsole (siehe Seite 16)Zugreifen auf die CA IdentityMinder-Management-Konsole (siehe Seite 16)So wird eine CA IdentityMinder-Umgebung erstellt (siehe Seite 17)Komponenten der CA IdentityMinder-UmgebungEine CA IdentityMinder-Umgebung stellt die Ansicht eines Verwaltungs-Namespace dar,mit dem CA IdentityMinder-Administratoren Objekte wie Benutzer, Gruppen, oderOrganisationen verwalten können. Diesen Objekten wird ein Satz zugehöriger Rollenund Aufgaben zugeordnet. Die CA IdentityMinder-Umgebung steuert die Verwaltungund die grafische Darstellung eines Verzeichnisses.Ein einzelner Benutzerspeicher kann mehrere CA IdentityMinder-Umgebungen (sieheSeite 15) verknüpfen, um unterschiedliche Ansichten des Verzeichnisses zu definieren.Allerdings ist eine CA IdentityMinder-Umgebung nur mit einem Benutzerspeicherverknüpft.CA IdentityMinder-Umgebungen enthalten folgende Elemente:VerzeichnisBeschreibt einen Benutzerspeicher für CA IdentityMinder. Ein Verzeichnis-Elementumfasst Folgendes:– Ein Zeiger zu einem Benutzerspeicher, in dem verwaltete Objekte wie Benutzer,Gruppen und Organisationen gespeichert werden.– Metadaten, die beschreiben, wie verwaltete Objekte im Verzeichnisgespeichert werden, und deren Darstellung in CA IdentityMinder.Provisioning-Verzeichnis (optional)Speichert Daten, die für den Provisioning-Server relevant sind, um zusätzlicheKonten in verwalteten Endpunkten zu verwalten. Es kann nur einProvisioning-Verzeichnis mit einer Umgebung verknüpft werden.Hinweis: Weitere Informationen zum Provisioning-Server oder zumProvisioning-Verzeichnis können Sie dem Installationshandbuch entnehmen.Kapitel 1: Einführung in CA IdentityMinder-Umgebungen 13

Komponenten der CA IdentityMinder-UmgebungBenutzerkonsoleErmöglicht CA IdentityMinder-Administratoren, Aufgaben in einer CAIdentityMinder-Umgebung auszuführen.Aufgaben- und RollendefinitionenBestimmen Sie Benutzerberechtigungen in CA IdentityMinder und anderenAnwendungen. Die Aufgaben- und Rollendefinitionen sind anfänglich in der CAIdentityMinder-Umgebung verfügbar, wo sie Benutzern zugewiesen werdenkönnen.Sie können die Standardrollen und -aufgaben mithilfe der Benutzerkonsoleanpassen.Self-ServiceDamit können Benutzer ihre eigenen Konten zum Zugriff auf Ressourcen, wie etwaeine Kundenwebseite, erstellen und verwalten. Mit dem Self-Service könnenBenutzer außerdem ein temporäres Kennwort für den Fall anfordern, dass dasaktuelle Kennwort vergessen wurde.Workflow-DefinitionenDesignsCA IdentityMinder schließt Standard-Workflow-Definitionen ein, die dieGenehmigung und Benachrichtigung für Benutzerverwaltungsaufgaben, wie etwaErstellen von Benutzerprofilen oder Zuweisen von Benutzern zu Rollen oderGruppen, automatisieren. Sie können die Standard-Workflow-Vorgänge in CAIdentityMinder ändern, um sämtliche Unternehmensanforderungen zuunterstützen.Bestimmen Sie die Anzeige der CA IdentityMinder-Benutzeroberfläche.Benutzerdefinierte FunktionenSie können CA IdentityMinder ändern, um Ihre Geschäftsanforderungen mithilfedes CA IdentityMinder-APIs anzupassen. Weitere Informationen finden Sie imProgrammierhandbuch für Java.Jede CA IdentityMinder-Umgebung macht es erforderlich, dass ein oder mehrereSystemmanager die initialen Rollen und Aufgaben mithilfe der Benutzerkonsolespezifisch anpassen. Sobald ein Systemmanager die initialen Rollen und Aufgabenerstellt, kann der Manager den Benutzern in dieser Umgebung Administratorrechtegewähren. Die Benutzer werden zu Administratoren, welche die Benutzer, Gruppenoder Organisationen verwalten. Weitere Informationen finden Sie imAdministrationshandbuch.14 Konfigurationshandbuch

Mehrere CA IdentityMinder-UmgebungenMehrere CA IdentityMinder-UmgebungenErstellen Sie mehrere CA IdentityMinder-Umgebungen, wenn Sie Folgendes möchten:Verwalten zusätzlicher Benutzerspeicher - Sie können Benutzer in unterschiedlichenTypen von Benutzerspeichern verwalten. Beispiel: Ihr Unternehmen speichert all seineBenutzerprofile in einem Sun-Java-System-LDAP-Verzeichnis. Sie gehen ein JointVenture mit einem Partner ein, der eine Oracle-Datenbank verwendet, umBenutzerinformationen zu speichern. Sie möchten jeweils eine andere CAIdentityMinder-Umgebung für jedes Set von Benutzern einsetzen.■Verwalten Sie Objekte mit unterschiedlichen LDAP-Objektklassen. Ziehen Sie dabeiin Betracht, dass CA IdentityMinder ein LDAP-Verzeichnis verwaltet. Innerhalb desgleichen Verzeichnisses können Sie Objekte des gleichen Typs mit verschiedenenObjektklassen und -attributen verwalten. Beispiel: Die folgende Abbildung zeigt einVerzeichnis, das zwei Typen von Benutzern enthält:– Mitarbeiter, die eine Mitarbeiter-ID-Nummer haben.– Zulieferer, die mit einer Zuliefererzahl identifiziert werden.Equation 1: Das Diagramm zeigt ein Beispiel für zwei Identity Manager-Umgebungen mitVerzeichnissen, die Mitarbeiter und Zulieferer enthalten.Kapitel 1: Einführung in CA IdentityMinder-Umgebungen 15

CA IdentityMinder-Management-KonsoleCA IdentityMinder-Management-KonsoleAls CA IdentityMinder-Systemadministrator umfassen Ihre Zuständigkeiten Folgendes:■ Erstellen eines CA IdentityMinder-Verzeichnisses■ Konfigurieren eines Provisioning-Verzeichnisses■ Konfigurieren einer CA IdentityMinder-Umgebung■■Zuweisen eines SystemmanagersAktivieren benutzerdefinierter Funktionen für die AnfangsverwendungUm eine CA IdentityMinder-Umgebung zu konfigurieren, verwenden Sie dieManagement-Konsole, eine webbasierte Anwendung.Die Management-Konsole wird in die folgenden beiden Abschnitte unterteilt:■■Verzeichnisse - Verwenden Sie diesen Abschnitt, um CAIdentityMinder-Verzeichnisse und Provisioning-Verzeichnisse zu erstellen und zuverwalten, die die Benutzerspeicher für CA IdentityMinder erläutern.Umgebungen - Verwenden Sie diesen Abschnitt, um CAIdentityMinder-Umgebungen zu erstellen und zu verwalten, die die VerwaltungsundGrafikpräsentationen eines Verzeichnisses steuern.Zugreifen auf die CA IdentityMinder-Management-KonsoleUm auf die Management-Konsole zuzugreifen, geben Sie die folgende URL in einenBrowser ein:http://hostname:port/iam/immanageHostnameportDefiniert den vollständig qualifizierten Domänennamen oder die IP-Adresse desServers, auf dem CA IdentityMinder installiert ist.Hinweis: Wenn Sie auf die Management-Konsole mithilfe von Internet Explorer 7zugreifen und der Hostname eine IPv6-Adresse enthält, wird eine falsche Anzeigeder Management-Konsole erwartet. Um dieses Problem zu vermeiden, verwendenSie den vollständig qualifizierten Hostnamen oder eine IPv4-Adresse.Definiert den Anwendungsserver-Port.Hinweis: Wenn Sie einen Web-Agenten verwenden, um eine erweiterteAuthentifizierung für CA IdentityMinder bereitzustellen, müssen Sie diePort-Nummer nicht angeben.16 Konfigurationshandbuch

So wird eine CA IdentityMinder-Umgebung erstelltHinweis: Aktivieren Sie JavaScript in dem Browser, den Sie verwenden, um auf dieManagement-Konsole zuzugreifen.Beispiel-Pfade zur Management-Konsole:■Für Geologic Weblogs:http://myserver.mycompany.org:7001/iam/immanage■■Für JBoss:http://myserver.mycompany.org:8080/iam/immanageFür WebSphere:http://myserver.mycompany.org:9080/iam/immanageSo wird eine CA IdentityMinder-Umgebung erstelltUm eine CA IdentityMinder-Umgebung zu erstellen, führen Sie die folgenden Schritte inder Management-Konsole aus:1. Verwenden Sie den Assistenten für Verzeichniskonfiguration, (siehe Seite 158) umein CA IdentityMinder-Verzeichnis zu erstellen.2. Wenn Ihre Umgebung Bereitstellung einschließt, verwenden Sie den Assistenten fürVerzeichniskonfiguration erneut, um ein Provisioning-Verzeichnis (siehe Seite 174)zu erstellen.3. Erstellen Sie eine CA IdentityMinder-Umgebung.4. Greifen Sie auf die Umgebung (siehe Seite 198) zu, um zu überprüfen, dass dieseausgeführt wird.Kapitel 1: Einführung in CA IdentityMinder-Umgebungen 17

Kapitel 2: Beispiel einer CAIdentityMinder-UmgebungDieses Kapitel enthält folgende Themen:Ü bersicht des Beispiels einer CA IdentityMinder-Umgebung (siehe Seite 19)So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriert (siehe Seite 20)So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriert (siehe Seite 30)So wird die NeteAuto-CA IdentityMinder-Umgebung verwendet (siehe Seite 37)So werden zusätzliche Funktionen konfiguriert (siehe Seite 46)Einschränkung beim SiteMinder-Anmeldenamen für globalen Benutzernamen (sieheSeite 46)Übersicht des Beispiels einer CA IdentityMinder-UmgebungCA IdentityMinder umfasst eine Beispielumgebung, die Sie verwenden können, um CAIdentityMinder kennenzulernen und zu testen.Als Beispielumgebung dient die Autohandelsgesellschaft namens NeteAuto.NeteAuto-Administratoren verwenden CA IdentityMinder, um Mitarbeiter, Zuliefererund regionale Verkaufsvertretungen zu verwalten.Im Folgenden sind Benutzerspeicher-Konfigurationen zur Verwendung vonNeteAuto-Beispielumgebungen aufgelistet:■■■■LDAP-Benutzerspeicher, die Organisationen unterstützenLDAP-Benutzerspeicher, die keine Organisationen unterstützen.Benutzerspeicher der relationalen Datenbanken, die Organisationen unterstützenBenutzerspeicher der relationalen Datenbanken, die keine Organisationenunterstützen.Hinweis: Provisioning-Funktionen sind nicht verfügbar, da diese Umgebung keinProvisioning-Verzeichnis besitzt.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 19

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriertSo wird das NeteAuto-Beispiel mit Organisations-SupportkonfiguriertDas Konfigurieren des NeteAuto-Beispiels mit Organisations-Support beinhaltet diefolgenden Schritte:■■Installieren der erforderlichen SoftwareInstallieren der CA IdentityMinder-Beispielumgebung■■■■Konfigurieren eines LDAP-BenutzerverzeichnissesKonfigurieren einer relationalen DatenbankErstellen des CA IdentityMinder-VerzeichnissesErstellen der NeteAuto-CA IdentityMinder-UmgebungLDAP-Verzeichnisstruktur für NeteAutoDie folgende Abbildung beschreibt das NeteAuto-Beispiel für LDAP-Verzeichnisse:ou=NeteAutoou=Dealerou=Supplierou=Employeeou=Europeou=USAou=PeopleSelfRegUserSuperAdmin NeteAutoAdministratorDie CA IdentityMinder-Beispielumgebung schließt die folgenden Benutzer ein:■Superadmin stellt das Administratorkonto mit der Systemmanager-Rolle für dieseCA IdentityMinder-Umgebung dar. Als Superadmin können Sie allestandardmäßigen Admin-Aufgaben ausführen.Hinweis: Informationen über eine Beschreibung der standardmäßigenAdmin-Aufgaben können Sie dem Administrationshandbuch entnehmen.20 Konfigurationshandbuch

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriert■■SelfRegUser stellt das Administratorkonto dar, das CA IdentityMinder verwendet,um die Selbstregistrierung für die CA IdentityMinder-Umgebung zu aktivieren.NeteAuto-Administrator besitzt keine Berechtigungen, wenn Sie dieNeteAuto-Umgebung installieren. Allerdings können Sie den Gruppenmanager alseine Benutzerrolle zuweisen, wie unter Zuweisen der Gruppenmanager-Rollebeschrieben.Relationale Datenbank für NeteAutoDie folgende Abbildung beschreibt die relationale Datenbank für das NeteAuto-Beispieleinschließlich einer Organisationstabelle:Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 21

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriertErforderliche Software für NeteAutoFür die NeteAuto-CA IdentityMinder-Umgebung gelten die folgenden Voraussetzungen:■■Installieren Sie CA IdentityMinder, wie im Installationshandbuch beschrieben.Stellen Sie sicher, dass Sie die CA IdentityMinder-Admin-Tools installieren.Sie müssen Zugriff auf den Verzeichnisserver eines Sun Java-Systems (Sun ONE oderiPlanet) oder auf eine Microsoft SQL Server-Datenbank haben.Installationsdateien für die NeteAuto-UmgebungCA IdentityMinder enthält ein Set von Dateien, die Sie verwenden können, um eine CAIdentityMinder-Beispielumgebung einzurichten. Die CA IdentityMinder-Umgebung stelltdie Ansicht eines Verwaltungs-Namespace dar, der es CAIdentityMinder-Administratoren ermöglicht, Objekte wie Benutzer, Gruppen oderOrganisationen zu verwalten. Diese Objekte werden zusammen mit einem Set vonverknüpften Rollen und Aufgaben verwaltet. Die CA IdentityMinder-Umgebung steuertdie Verwaltungs- und Grafikpräsentation eines Verzeichnisses.Die CA IdentityMinder-Beispielumgebung umfasst Folgendes:■■Beispielobjekte, wie Benutzer und OrganisationenRollen-, Aufgaben- und BildschirmdefinitionenAufgaben werden in der Benutzerkonsole angezeigt, wenn Sie auf eineRegisterkarte klicken, wie etwa für Benutzer oder Gruppen. Basierend auf denzugewiesenen Rollen werden die verknüpften Aufgaben angezeigt, wenn sich derBenutzer anmeldet.Hinweis: Weitere Informationen zu Rollen und Aufgaben finden Sie imAdministrationshandbuch.■■Ein Beispieldesign, das die Benutzerkonsole für NeteAuto-Benutzer individuellanpasst.Eine Verzeichniskonfigurationsdatei, die Sie verwenden, um ein CAIdentityMinder-Verzeichnis zu erstellen.Die Dateien für das Erstellen der CA IdentityMinder-Beispielumgebung werden unterdem folgenden Speicherort installiert:admin_tools\samples\NeteAuto22 Konfigurationshandbuch

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriertIn diesem Pfad bezieht sich admin_tools auf die Administrations-Tools. DieVerwaltungstools werden in den folgenden Standardordnern gespeichert:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsInstallieren Sie die NeteAuto-Umgebung.Führen Sie den folgenden Prozess aus, um die NeteAuto-Umgebung zu installieren.Gehen Sie wie folgt vor:1. Vergewissern Sie sich, dass die erforderliche Software installiert ist (siehe Seite 22).2. Konfigurieren Sie den Benutzerspeicher, und importieren Sie die Beispieldaten.■■Für LDAP-Benutzer: Konfigurieren Sie ein LDAP-Benutzerverzeichnis (sieheSeite 23)Für Benutzer von relationalen Datenbanken: Konfigurieren Sie eine relationaleDatenbank.3. Erstellen Sie das NeteAuto-CA IdentityMinder-Verzeichnis.4. Erstellen Sie die NeteAuto-CA IdentityMinder-Umgebung.5. Konfigurieren Sie das Erscheinungsbild der CA IdentityMinder-Benutzeroberflächefür NeteAuto-Benutzer (siehe Seite 39).Konfigurieren Sie ein LDAP-Benutzerverzeichnis.Das LDAP-Verzeichnis ist in Abhängigkeit von Ihrer Installation verfügbar. Sie können mitdem folgenden Verfahren überprüfen, ob das Verzeichnis vorhanden ist, oder Siekönnen das Verzeichnis erstellen.Gehen Sie wie folgt vor:1. Erstellen Sie in der Verzeichnisserverkonsole eine Instanz von LDAP mit folgendemStamm:dc=security,dc=comNotieren Sie die Port-Nummer für zukünftige Referenzzwecke.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 23

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriert2. Importieren Sie die NeteAuto.ldif-Datei in den Verzeichnisserver vonsamples\NeteAuto in den Administrations-Tools.Die Verwaltungstools werden in den folgenden Standardordnern installiert:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsHinweis: Wenn Sie beim Import der LDIF-Datei oder beim Erstellen des CAIdentityMinder-Verzeichnisses Probleme feststellen, fügen Sie den folgenden Text amAnfang der LDIF-Datei hinzu:dn: dc=security, dc=comobjectClass: topobjectClass: domaindc: securitySpeichern Sie die Datei, und wiederholen Sie die Schritte 1 und 2.Konfigurieren einer relationalen DatenbankFühren Sie den folgenden Vorgang aus, um eine relationale Datenbank zu konfigurieren.Gehen Sie wie folgt vor:1. Erstellen Sie eine Datenbankinstanz mit der Bezeichnung "NeteAuto".2. Erstellen Sie einen Benutzer names "neteautoadmin" mit dem Kennwort "test".Gewähren Sie NeteAuto neteautoadmin-Rechte (wie etwa public- oderdb_owner-Rechte), indem Sie die Eigenschaften des Benutzers bearbeiten.Hinweis: Um eine NeteAuto-Datenbank zu erstellen, muss die Neteautoadmin-Rollemindestens minimale Berechtigungen (auswählen, einfügen, aktualisieren undlöschen) für alle Tabellen besitzen, die über by.sql-Skript erstellt werden. Außerdemmuss neteautoadmin in der Lage sein, gegebenenfalls alle gespeichertenProzeduren auszuführen, die in diesen Skripten definiert sind.3. Wenn Sie Benutzereigenschaften bearbeiten, machen Sie NeteAuto zurStandarddatenbank für neteautoadmin.24 Konfigurationshandbuch

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriert4. Führen Sie die folgenden Skripte in der aufgelisteten Reihenfolge aus:■■db_type-rdbuserdirectory.sql - Konfiguriert die Tabellen für dasNeteAuto-Beispiel und erstellt die Benutzereingaben.ims_db_type_rdb.sql - Konfiguriert den -Support für Organisationendb_typeDefiniert Microsoft SQL oder Oracle je nach Typ der Datenbank, die Siekonfigurieren.Diese Skriptdateien befinden sich im Ordneradmin_tools\samples\NeteAutoRDB\Organization. In diesem Beispiel bezieht sichadmin_tools auf die Administrations-Tools, die in den folgendenStandardspeicherorten installiert sind:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools5. Definieren Sie eine JDBC-Datenquelle mit der Bezeichnung "neteautoDS", die aufdie NeteAuto-Datenbank verweist.Der Verfahren zum Konfigurieren einer Datenquelle hängt vom Typ desAnwendungsservers ab, auf dem CA IdentityMinder installiert ist. Der Abschnitt "Sowird eine JDBC-Datenquelle erstellt (siehe Seite 107)" umfasstanwendungsserverspezifische Anweisungen zum Erstellen einer JDBC-Datenquelle.Erstellen des CA IdentityMinder-VerzeichnissesFühren Sie den folgenden Vorgang aus, um ein CA IdentityMinder-Verzeichnis zuerstellen.Gehen Sie wie folgt vor:1. Ö ffnen Sie die Management-Konsole, indem Sie die folgende URL in einen Browsereingeben:http://im_server:port/iam/immanageim_serverportDefiniert den voll qualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist.Definiert die Portnummer des Anwendungsservers.2. Klicken Sie auf "Directories" (Verzeichnisse).3. Klicken Sie auf "Create from Wizard" (Ü ber Assistenten erstellen), um den CAIdentityMinder-Verzeichnisassistenten zu starten.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 25

So wird das NeteAuto-Beispiel mit Organisations-Support konfiguriertAliasNeteAutoDas Alias wird der URL hinzugefügt, um auf die CA IdentityMinder-Umgebungzugreifen zu können. Die URL zum Zugriff auf die Neteauto-Umgebung kannbeispielsweise wie folgt lauten:http://server_name/iam/im/neteautoserver_nameDefiniert den vollständig qualifizierten Domänennamen des Servers, aufdem CA IdentityMinder installiert ist. Beispiel:http://myserver.mycompany.org/iam/im/neteautoHinweis: Beim Alias muss die Groß-/Kleinschreibung beachtet werden.Klicken Sie auf "Weiter".4. Wählen Sie das CA IdentityMinder-Verzeichnis aus, das mit der Umgebung zuverknüpfen ist, die Sie erstellen:– Verwenden Sie für den Verzeichnisserver des Sun-Java-Systems dasNeteAuto-Verzeichnis.– Verwenden Sie für Microsoft SQL Server oder die Oracle-Datenbank dasNeteAutoRDB-Verzeichnis.Klicken Sie auf "Weiter".5. Konfigurieren Sie den Support für öffentliche Aufgaben, wie die Selbstregistrierungund die Aufgaben im Fall von vergessenen Kennwörtern, wie folgt:a. Geben Sie folgenden Alias für öffentliche Aufgaben ein:Neteautopublicb. Geben Sie SelfRegUser als anonymes Benutzerkonto ein.c. Klicken Sie auf "Bestätigen", um die für den Benutzer eindeutige Kennunganzuzeigen.Hinweis: Benutzer müssen sich nicht anmelden, um öffentliche Aufgabenverwenden zu können.6. Wählen Sie die Aufgaben und Rollen, die für die NeteAuto-Umgebung zu erstellensind:a. Wählen Sie Import-Rollen aus der Datei.b. Navigieren Sie zu einem der folgenden Speicherorte:– Für einen Benutzerspeicher des Sun-Java-System-Verzeichnisservers:admin_tools\samples\NeteAuto\RoleDefinitions.xml28 Konfigurationshandbuch

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriertSo wird das NeteAuto-Beispiel ohne Organisations-SupportkonfiguriertDas Konfigurieren des NeteAuto-Beispiels ohne Organisations-Support beinhaltet diefolgenden Schritte:■ Installieren der erforderlichen Software (siehe Seite 22)■■■■■Installieren der CA IdentityMinder-BeispielumgebungKonfigurieren der DatenbankErstellen der JDBC-DatenquelleErstellen des CA IdentityMinder-VerzeichnissesErstellen der NeteAuto-CA IdentityMinder-UmgebungBeschreibung der CA IdentityMinder-BeispielumgebungFür Microsoft SQL Server und Oracle-Datenbanken enthält CA IdentityMinder eineVersion der NeteAuto-Umgebung, die keine Organisationen umfasst. Diese CAIdentityMinder-Umgebung schließt die folgenden drei Benutzer ein:■Superadmin stellt das Administratorkonto mit der Systemmanager-Rolle für dieseCA IdentityMinder-Umgebung dar. Als Superadmin können Sie allestandardmäßigen Admin-Aufgaben ausführen.Hinweis: Informationen über eine Beschreibung der standardmäßigenAdmin-Aufgaben können Sie dem Administrationshandbuch entnehmen.■■SelfRegUser stellt das Administratorkonto dar, das CA IdentityMinder verwendet,um die Selbstregistrierung für die CA IdentityMinder-Umgebung zu aktivieren.NeteAuto-Administrator besitzt keine Berechtigungen, wenn Sie dieNeteAuto-Umgebung installieren.Sie können jedoch dem NeteAuto-Administratorkonto die Gruppen-Manager-Rollezuweisen.30 Konfigurationshandbuch

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriertDie folgende Abbildung beschreibt das NeteAuto-Beispiel für eine relationaleDatenbank, jedoch ohne Organisationen:Installationsdateien für die NeteAuto-UmgebungCA IdentityMinder enthält ein Set von Dateien, die Sie verwenden können, um eine CAIdentityMinder-Beispielumgebung einzurichten. Eine CA IdentityMinder-Umgebungstellt die Ansicht eines Verwaltungs-Namespace dar, der CAIdentityMinder-Administratoren zum Verwalten von Objekten befähigt. Diese Objektewie Benutzer und Gruppen gehen mit einem Set von verknüpften Rollen und Aufgabeneinher. Die CA IdentityMinder-Umgebung steuert die Verwaltungs- undGrafikpräsentation eines Benutzerspeichers.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 31

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriertDie CA IdentityMinder-Beispielumgebung umfasst Folgendes:■■BeispielbenutzerRollen-, Aufgaben- und BildschirmdefinitionenAufgaben werden in der Benutzerkonsole angezeigt, wenn Sie auf eine Kategorieklicken, wie etwa für Benutzer oder Gruppen. Die Aufgaben, die angezeigt werden,basieren auf den Rollen, die dem Benutzer zugewiesen sind.Hinweis: Weitere Informationen zu Rollen und Aufgaben finden Sie imAdministrationshandbuch.■■Ein Beispieldesign, das die Benutzerkonsole für NeteAuto-Benutzer individuellanpasst.Eine Verzeichniskonfigurationsdatei, die Sie verwenden, um ein CAIdentityMinder-Verzeichnis zu erstellen.Die Dateien für das Erstellen der CA IdentityMinder-Beispielumgebung werden unterdem folgenden Speicherort installiert:admin_tools\samples\NeteAutoRDB\NoOrganizationIn diesem Pfad bezieht sich admin_tools auf die Administrations-Tools.Die Verwaltungstools werden in den folgenden Standardordnern gespeichert:■ Windows: C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\tools■ UNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsSo wird die NeteAuto-Umgebung installiert - Ohne Organisations-SupportFühren Sie den folgenden Prozess aus, um die NeteAuto-Umgebung zu installieren.Gehen Sie wie folgt vor:1. Stellen Sie sicher, dass die erforderliche Software (siehe Seite 33) installiert ist.2. Konfigurieren Sie die Datenbank (siehe Seite 24).3. Erstellen Sie das CA IdentityMinder-Verzeichnis. (siehe Seite 34)4. Erstellen Sie die NeteAuto-CA IdentityMinder-Umgebung (siehe Seite 36).5. Konfigurieren Sie das Erscheinungsbild der CA IdentityMinder-Benutzeroberflächefür NeteAuto-Benutzer (siehe Seite 39).32 Konfigurationshandbuch

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriertErforderliche SoftwareFür die NeteAuto-CA IdentityMinder-Umgebung gelten die folgenden Voraussetzungen:■■Installieren Sie CA IdentityMinder, wie im Installationshandbuch beschrieben.Führen Sie eine Ü berprüfung durch, um die CA IdentityMinder-Admin-Tools zuinstallieren.Sie müssen Zugriff auf einen Microsoft SQL Server oder eine Oracle-Datenbankhaben.Konfigurieren einer relationalen DatenbankFühren Sie den folgenden Vorgang aus, um eine relationale Datenbank zu konfigurieren.Gehen Sie wie folgt vor:1. Erstellen Sie eine Datenbankinstanz mit der Bezeichnung "NeteAuto".2. Erstellen Sie einen Benutzer names "neteautoadmin" mit dem Kennwort "test".Gewähren Sie NeteAuto neteautoadmin-Rechte (wie etwa public- oderdb_owner-Rechte), indem Sie die Eigenschaften des Benutzers bearbeiten.Hinweis: Um eine NeteAuto-Datenbank zu erstellen, muss die Neteautoadmin-Rollemindestens minimale Berechtigungen (auswählen, einfügen, aktualisieren undlöschen) für alle Tabellen besitzen, die über by.sql-Skript erstellt werden. Außerdemmuss neteautoadmin in der Lage sein, gegebenenfalls alle gespeichertenProzeduren auszuführen, die in diesen Skripten definiert sind.3. Wenn Sie Benutzereigenschaften bearbeiten, machen Sie NeteAuto zurStandarddatenbank für neteautoadmin.4. Führen Sie die folgenden Skripte in der aufgelisteten Reihenfolge aus:■■db_type-rdbuserdirectory.sql - Konfiguriert die Tabellen für dasNeteAuto-Beispiel und erstellt die Benutzereingaben.ims_db_type_rdb.sql - Konfiguriert den -Support für Organisationendb_typeDefiniert Microsoft SQL oder Oracle je nach Typ der Datenbank, die Siekonfigurieren.Diese Skriptdateien befinden sich im Ordneradmin_tools\samples\NeteAutoRDB\Organization. In diesem Beispiel bezieht sichadmin_tools auf die Administrations-Tools, die in den folgendenStandardspeicherorten installiert sind:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsKapitel 2: Beispiel einer CA IdentityMinder-Umgebung 33

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriert5. Definieren Sie eine JDBC-Datenquelle mit der Bezeichnung "neteautoDS", die aufdie NeteAuto-Datenbank verweist.Der Verfahren zum Konfigurieren einer Datenquelle hängt vom Typ desAnwendungsservers ab, auf dem CA IdentityMinder installiert ist. Der Abschnitt "Sowird eine JDBC-Datenquelle erstellt (siehe Seite 107)" umfasstanwendungsserverspezifische Anweisungen zum Erstellen einer JDBC-Datenquelle.Erstellen des CA IdentityMinder-VerzeichnissesFühren Sie das folgende Verfahren durch, um das CA IdentityMinder-Verzeichnis zuerstellen.Gehen Sie wie folgt vor:1. Ö ffnen Sie die Management-Konsole, indem Sie die folgende URL in einen Browsereingeben:http://im_server:port/iam/immanageim_serverportDefiniert den voll qualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist.Definiert die Portnummer des Anwendungsservers.2. Klicken Sie auf "Directories" (Verzeichnisse).Das Fenster der CA IdentityMinder-Verzeichnisse wird angezeigt.3. Klicken Sie auf "Neu", um den CA IdentityMinder-Verzeichnisassistenten zu starten.34 Konfigurationshandbuch

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriert4. Suchen Sie nach einer der folgenden XML-Dateien der Verzeichniskonfiguration,und klicken Sie auf "Weiter":■■■Sun Java-Systeme:admin_tools\samples\NeteAuto\NoOrganization\directory.xmlSQL-Server-Datenbanken:admin_tools\samples\NeteAuto\NoOrganization\mssql-directory.xmlOracle-Datenbanken:admin_tools\samples\NeteAuto\NoOrganization\oracle-directory.xmladmin_tools bezieht sich auf die Administrations-Tools, die standardmäßig unterfolgendem Speicherort installiert sind:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsStatusinformationen werden auf dem Ausgabebildschirm derVerzeichniskonfiguration angezeigt.5. Stellen Sie auf der zweiten Seite des Assistenten die folgenden Werte bereit:NameNeteAutoRDB DirectoryBeschreibungNeteAuto-Beispielverzeichnis ohne Organisations-SupportConnection Object Name (Name des Verbindungsobjekts)NeteAutoRDBJDBC Data Source (JDBC-Datenquelle)neteautoDSBenutzernameneteautoadminKennworttest6. Klicken Sie auf "Weiter".7. Klicken Sie auf "Fertigstellen", um den Assistenten zu beenden.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 35

So wird das NeteAuto-Beispiel ohne Organisations-Support konfiguriertErstellen der NeteAuto-CA IdentityMinder-UmgebungFühren Sie den folgenden Vorgang aus, um die NeteAuto-CA IdentityMinder-Umgebungzu erstellen.Gehen Sie wie folgt vor:1. Klicken Sie in der Managementkonsole auf "Umgebungen".2. Klicken Sie im CA IdentityMinder-Umgebungs-Fenster auf "Neu".Der CA IdentityMinder-Umgebungs-Assistent wird geöffnet.3. Geben Sie auf der ersten Seite des Assistenten die folgenden Werte ein:■■Umgebungsname - NeteAuto-UmgebungBeschreibung - NeteAuto stellt eine Beispielumgebung dar.■Alias - neteautoRDBDas Alias wird der URL hinzugefügt, um auf die CA IdentityMinder-Umgebungzugreifen zu können. Die URL zum Zugriff auf die Neteauto-Umgebung kannbeispielsweise wie folgt lauten:http://domain/iam/im/neteautoRDBIn diesem Pfad definiert die Domäne den vollständig qualifiziertenDomänennamen des Servers, auf dem CA IdentityMinder installiert ist, wie imfolgenden Beispiel verdeutlicht wird:http://myserver.mycompany.org/iam/im/neteautoRDBHinweis: Beim Alias muss die Groß-/Kleinschreibung beachtet werden.Klicken Sie auf "Weiter".4. Wählen Sie das CA IdentityMinder-Verzeichnis des NeteAutoRDB-Verzeichnissesaus, um es mit der Umgebung zu verknüpfen, die Sie erstellen. Klicken Sieanschließend auf "Weiter".5. Konfigurieren Sie den Support für öffentliche Aufgaben, wie etwa dieSelbstregistrierung und die Aufgaben im Fall von vergessenen Kennwörtern.Hinweis: Benutzer müssen sich nicht anmelden, um auf öffentliche Aufgabenzugreifen zu können.a. Geben Sie folgenden Alias für öffentliche Aufgaben ein:neteautoRDBpublicb. Geben Sie SelfRegUser als anonymes Benutzerkonto ein.c. Klicken Sie "Bestätigen", um die für Benutzer eindeutige Kennung anzuzeigen(2, in diesem Fall).36 Konfigurationshandbuch

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendet6. Wählen Sie die Aufgaben und Rollen, die für die NeteAuto-Umgebung zu erstellensind:■Wählen Sie Import-Rollen aus der Datei.■Navigieren Sie zum folgenden Speicherort:im_admin_tools_dir\samples\NeteAutoRDB\NoOrganizations\RoleDefinitions.xmlIn diesem Pfad definiert im_admin_tools_dir den installierten Speicherort derCA IdentityMinder-Admin-Tools.7. Geben Sie einen Benutzer an, der als Systemmanager für diese Umgebungfungieren soll, und klicken Sie auf "Weiter":a. Geben Sie "SuperAdmin" im Systemmanager-Feld ein.b. Klicken Sie auf "Hinzufügen".c. Klicken Sie auf "Weiter".8. Ü berprüfen Sie die Einstellungen für die Umgebung.■■Klicken Sie zum Ändern auf "Vorherige".Klicken Sie auf "Fertigstellen", um die CA IdentityMinder-Umgebung mit denaktuellen Einstellungen zu erstellen.Der Ausgabebildschirm der Umgebungskonfiguration zeigt den Fortschritt derUmgebungserstellung an.9. Klicken Sie auf "Fertigstellen", um den CA IdentityMinder-Umgebungs-Assistentenzu verlassen.10. Starten Sie die CA IdentityMinder-Umgebung.Wenn Sie die NeteAuto-Umgebung erstellt haben, können Sie folgendes tun:■■Erstellen Sie ein Design für diese CA IdentityMinder-Umgebung, wie unter Setupdes NeteAuto-Designs (siehe Seite 39) beschrieben.Greifen Sie auf die Umgebung wie unter "So wird die NeteAuto-CAIdentityMinder-Umgebung verwendet" beschrieben zu.So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetSie können die NeteAuto-CA IdentityMinder-Umgebung verwenden, umSelf-Service-Aufgaben und Benutzer zu verwalten.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 37

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetVerwaltung der Self-Service-AufgabenDie Self-Service-Aufgaben umfassen Folgendes:■ Registrieren als neuer Benutzer■ Anmelden als selbst registrierter Benutzer■ Verwenden der Funktion im Falle eines vergessenen KennwortsAls neuer Benutzer registrierenFühren Sie den folgenden Vorgang aus, um sich als neuer Benutzer zu registrieren.Gehen Sie wie folgt vor:1. Geben Sie die folgende URL in einen Browser ein:http://hostname/iam/im/neteautopublic/index.jsp?task.tag=SelfRegistrationHostnameDefiniert den vollständig qualifizierten Domänennamen des Systems, in dem CAIdentityMinder betrieben wird.Hinweis: Wurde die Konfiguration des NeteAuto-Design (siehe Seite 39) noch nichtdurchgeführt, können Sie "imcss" aus der URL folgendermaßen weglassen:http://hostname/iam/im/neteautopublic/index.jsp?task.tag=SelfRegistrationDiese URL leitet Sie zur CA-Standardkonsole.Bei der Selbstregistrierung: Seite der Endbenutzer-Lizenzvereinbarung; CAIdentityMinder zeigt die CA-Website an.Hinweis: Sie können die standardmäßige Selbstregistrierungsaufgabe konfigurieren,um die benutzerdefinierte Endbenutzer-Lizenzvereinbarung anzuzeigen. WeitereAnweisungen finden Sie im Administrationshandbuch.2. Klicken Sie auf "Akzeptieren", um fortzufahren.3. Geben Sie auf der Registerkarte "Profil" die folgenden Details an:a. Geben Sie die Werte für die Mussfelder ein, welche mit einem Sternchen (*)versehen sind.b. Geben Sie Hinweise und Antworten für die Kennwortabfrage ein.Für den Fall eines vergessenen Kennworts stellt CA IdentityMinder einenHinweis zum Kennwort bereit und fordert die Antwort an. Wenn die Antwortrichtig ist, fordert CA IdentityMinder den Benutzer auf, ein neues Kennwortanzugeben und dieses zu bestätigen.4. Lassen Sie die Registerkarte "Gruppen" unverändert.5. Klicken Sie auf "Senden".38 Konfigurationshandbuch

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetAls selbst registrierter Benutzer anmeldenFühren Sie den folgenden Vorgang aus, um sich als ein selbst registrierter Benutzeranzumelden.Gehen Sie wie folgt vor:1. Geben Sie die folgende URL für die NeteAuto-CA IdentityMinder-Umgebung ineinen Browser ein:http://hostname/iam/im/neteauto/imcss/index.jspHostnameRichten Sie das NeteAuto-Design ein.Definiert den vollständig qualifizierten Domänennamen des Systems, in dem CAIdentityMinder betrieben wird.2. Melden Sie sich mit dem Benutzernamen und dem Kennwort an, die Sie bei derRegistrierung angegeben haben.Um das NeteAuto-Design einzurichten, erstellen Sie eine SiteMinder-Antwort imSiteMinder-Richtlinienserver.Gehen Sie wie folgt vor:1. Melden Sie sich bei einer der folgenden Schnittstellen als Administrator mitDomänenberechtigungen an:■■Für CA SiteMinder Web Access Manager r12 oder höher melden Sie sich bei derVerwaltungsoberfläche an.Für CA eTrust SiteMinder 6.0 SP5 melden Sie sich bei derRichtlinienserver-Benutzeroberfläche an.Hinweis: Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie inder Dokumentation der SiteMinder-Version, die Sie verwenden.2. Ö ffnen Sie neteautoDomain.3. Wählen Sie unter neteautoDomain "Bereiche" aus.Die folgenden Bereiche werden angezeigt:neteauto_ims_realmSchützt die CA IdentityMinder-Umgebung.neteauto_pub_realmErmöglicht den Support für öffentliche Aufgaben, wie etwa dieSelbstregistrierung und die Aufgaben im Fall von vergessenen Kennwörtern.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 39

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendet4. Erstellen Sie in jedem der Bereiche eine Regel. Geben Sie die folgenden Details an:■ Ressource: *■Aktionen: GET, POSTUm die Verwaltung zu vereinfachen, nehmen Sie das NeteAuto-Design in denRegelnamen auf.5. Erstellen Sie für die Domäne eine Antwort mit den folgenden Antwortattributen:■■■Attribut: WebAgent-HTTP-Header-VariableDieses Attribut fügt einen neuen HTTP-Header zur Antwort hinzu.Attributtyp: StatischVeränderlicher Name: DesignVeränderlicher Wert: neteauto6. Ändern Sie die Richtlinie, die CA IdentityMinder unter neteautoDomain erstellt hat.Geben Sie die folgenden Details an:■Benutzer– Für LDAP: Wählen Sie ou=People, ou=Employees oder ou=NeteAuto unterden verfügbaren Mitgliedern aus, und fügen Sie die jeweilige Auswahl zuden aktuellen Mitgliedern hinzu. Klicken Sie auf "OK".– Für relationale Datenbanken: Suchen Sie nach Benutzern, bei denen dasID-Attribut dem Wert "*" entspricht. Wählen Sie alle Benutzer unter denverfügbaren Mitgliedern aus, und fügen Sie diese zu den aktuellenMitgliedern hinzu. Klicken Sie auf "OK".■Regeln (Rules):– Fügen Sie die Regeln hinzu, die Sie in Schritt 4 erstellt haben.– Klicken Sie für jede Regel auf "Vorgegebene Antwort". Verknüpfen Sie jedeRegel mit der Antwort, die Sie in Schritt 5 erstellt haben.Hinweis: Das neteauto-Design beruht auf der imcss-Konsole. Um das Design anzuzeigen,hängen Sie /imcss/index.jsp an die URL für die NeteAuto-CA IdentityMinder-Umgebungfolgendermaßen an:http://hostname/iam/im/neteauto/imcss/index.jspDer Zugriff auf die NeteAuto-CA IdentityMinder-Umgebung (siehe Seite 42) bietetvollständige Anweisungen für den Zugriff auf die NeteAuto-Umgebung.40 Konfigurationshandbuch

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetVerwenden Sie die entsprechende Funktion im Falle eines vergessenen Kennworts.Führen Sie den folgenden Vorgang aus, um die Funktion für den Fall eines vergessenenKennworts zu verwenden.Gehen Sie wie folgt vor:1. Geben Sie die folgende URL in einen Browser ein:http://hostname/iam/im/neteautopublic/index.jsp?task.tag=ForgottenPasswordResetHostnameDefiniert den vollständig qualifizierten Domänennamen des Systems, in dem CAIdentityMinder betrieben wird.2. Geben Sie die eindeutige Kennung für den selbst registrierten Benutzer ein, den Sieunter "Als neuer Benutzer registrieren" (siehe Seite 38) erstellt haben, und klickenSie auf "Weiter".3. Beantworten Sie bei jeder Aufforderung die Ü berprüfungsfrage. Die Antwort istderjenige, die Sie während der Registrierung angegeben haben.Hinweis: Auf jede Frage ist die richtige Antwort erforderlich. Das Abbrechen derAufgabe oder das Schließen des Browsers wird als fehlgeschlagener Versuchgewertet.4. Klicken Sie auf "Senden".CA IdentityMinder fordert Sie auf, ein neues Kennwort bereitzustellen.BenutzerverwaltungDie Benutzerverwaltung umfasst die folgenden Vorgänge:■■■■■Zugreifen auf die NeteAuto-CA IdentityMinder-UmgebungÄndern eines BenutzersZuweisen der Gruppen-Manager-RolleErstellen einer GruppeVerwalten von selbst registrierten BenutzernKapitel 2: Beispiel einer CA IdentityMinder-Umgebung 41

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetZugreifen auf die NeteAuto-CA IdentityMinder-UmgebungEinen Benutzer ändernFühren Sie den folgenden Vorgang aus, um auf die NeteAuto-CAIdentityMinder-Umgebung zuzugreifen.Gehen Sie wie folgt vor:1. Geben Sie die folgende URL in einen Browser ein:http://hostname/iam/im/neteauto/imcss/index.jspHostnameDefiniert den vollständig qualifizierten Domänennamen wie im folgendenBeispiel:http://myserver.mycompany.com/iam/im/neteauto/imcss/index.jsp.Hinweis: Wenn Sie das NeteAuto-Design nicht konfiguriert haben, können Sie diefolgende URL verwenden, um auf die NeteAuto-Umgebung zuzugreifen:http://hostname/iam/im/neteauto2. Geben Sie im Anmeldefenster die folgenden Anmeldeinformationen ein:BenutzernameSuperAdminKennworttestFühren Sie den folgenden Vorgang aus, um einen Benutzer zu ändern.Gehen Sie wie folgt vor:1. Melden Sie sich als SuperAdmin an der NeteAuto-Umgebung mithilfe desKennworttests an.2. Benutzer auswählen, Benutzer verwalten, Benutzer ändern.Das Fenster "Benutzer auswählen" wird angezeigt.3. Klicken Sie auf "Suchen".CA IdentityMinder zeigt eine Liste von Benutzern in der NeteAuto-Umgebung an.4. Wählen Sie den NeteAuto-Administrator wie folgt aus:■■Für LDAP-Verzeichnisse, NeteAuto-AdministratorFür relationale Datenbanken, NeteAuto AdminKlicken Sie auf "Auswählen". CA IdentityMinder zeigt das Profil für denNeteAuto-Administrator an.42 Konfigurationshandbuch

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetWeisen Sie die Gruppen-Manager-Rolle zu.5. Geben Sie "Manager" im Titel-Feld ein. Klicken Sie auf "Senden".CA IdentityMinder bestätigt die Aufgabenvorlage.6. Klicken Sie auf "OK", um zum Hauptbildschirm zurückzukehren.Das Zuweisen einer Gruppenmanagerrolle ist notwendig. Führen Sie den folgendenVorgang aus, um einen Gruppenmanager zuzuweisen.Gehen Sie wie folgt vor:1. Wählen Sie als SuperAdmin die Registerkarte für die Rollen und Aufgaben. WählenSie dann die Admin-Rollen aus, und ändern Sie diese.2. Wählen Sie die Gruppen-Manager-Rolle aus, und klicken Sie auf "Auswählen".Das Profil für die Gruppen-Manager-Rolle wird angezeigt.3. Klicken Sie auf die Registerkarte "Mitglieder" und anschließend auf "Hinzufügen"unter den Mitgliederrichtlinien.Das Fenster "Mitglieder-Richtlinie" wird angezeigt.4. Klicken Sie unter der Mitgliederregel im Benutzer-Feld auf diePfeil-nach-unten-Taste.Wählen Sie in der Drop-down-Liste den Eintrag .Das Benutzer-Feld ändert sich, damit Sie einen Filter für die Regel eingeben können.5. Geben Sie eine Mitgliedschaftsregel wie folgt ein:a. Wählen Sie im ersten Feld den Titel aus der Drop-down-Liste aus.b. Vergewissern Sie sich, dass im zweiten Feld das Gleichheitszeichen (=)ausgewählt wird.c. Geben Sie "Manager" im dritten Feld ein.6. Definieren Sie im Abschnitt der Umfangsregeln die Regeln für die Benutzer,Gruppen und Organisationen (sofern unterstützt) wie folgt:a. Klicken Sie im Benutzer-Feld auf die Pfeil-nach-unten-Taste, um eine Liste vonOptionen anzusehen. Wählen Sie (alle) aus der Liste aus.b. Wiederholen Sie den Schritt "a" in den Feldern für die Gruppen und dieOrganisationen (sofern unterstützt).c. Lassen Sie das Feld für den Zugriff auf die Aufgaben leer.7. Klicken Sie auf "OK".CA IdentityMinder zeigt die Mitgliederrichtlinie an, die Sie erstellt haben.8. Klicken Sie auf "Senden".CA IdentityMinder bestätigt die Aufgabenvorlage.Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 43

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendetErstellen Sie eine Gruppe.9. Klicken Sie auf "OK", um zum Hauptbildschirm zurückzukehren.10. Schließen Sie CA IdentityMinder.Führen Sie den folgenden Vorgang aus, um eine Gruppe zu erstellen.Gehen Sie wie folgt vor:1. Melden Sie sich wie folgt an CA IdentityMinder als NeteAuto-Administrator an:■■Geben Sie bei LDAP-Verzeichnissen den Benutzernamen"NeteAuto-Administrator" ein, und führen Sie den Kennworttest durch.Geben Sie bei relationalen Datenbanken den Benutzernamen"NeteAuto-Administrator" ein, und führen Sie den Kennworttest durch.Die Liste der Aufgaben, die der NeteAuto-Administrator ausführen kann, wirdangezeigt. Da der NeteAuto-Administrator nur eine beschränkte Anzahl vonAufgaben ausführen kann, listet CA IdentityMinder die Aufgaben anstelle vonKategorien auf.2. Klicken Sie auf "Gruppe erstellen".3. Stellen Sie sicher, dass die Option zum Erstellen einer neuen Gruppe ausgewähltwird, und klicken Sie auf "OK".4. Implementieren Sie einen der folgenden Schritte, der zu Ihrem Fall passt:■■Wenn die NeteAuto-Umgebung Organisationen unterstützt:a. Klicken Sie im Feld für den Organisationsnamen auf das Ellipsensymbol (...),um die Organisation auszuwählen, in der CA IdentityMinder die Gruppeerstellt.b. Erweitern Sie NeteAuto unten im Fenster zum Auswählen derOrganisation.c. Wählen Sie die Händler-Organisation aus.Wenn die NeteAuto-Umgebung keine Organisationen unterstützt, fahren Siemit dem nächsten Schritt fort.5. Geben Sie die folgenden Informationen für die Gruppe ein:■■Gruppenname: Händler-AdministratorenGruppen-Beschreibung: Administratoren für NeteAuto-Verkaufsvertretung.6. Klicken Sie auf die Registerkarte "Mitgliedschaft" und anschließend auf die Optionzum Hinzufügen eines Benutzers.Das Fenster "Benutzer auswählen" wird angezeigt.44 Konfigurationshandbuch

So wird die NeteAuto-CA IdentityMinder-Umgebung verwendet7. Klicken Sie auf "Suchen".8. Markieren Sie den NeteAuto-Administrator, und klicken Sie auf "Auswählen".9. Klicken Sie auf "Senden", um die Gruppe zu erstellen.Verwalten Sie die selbst registrierten Benutzer.Führen Sie den folgenden Vorgang aus, wenn Sie selbst registrierte Benutzer verwaltenmöchten.Gehen Sie wie folgt vor:1. Melden Sie sich mithilfe der folgenden Anmeldeinformationen am CAIdentityMinder als NeteAuto-Administrator an:■Für LDAP-Verzeichnisse:BenutzernameNeteAuto-AdministratorKennworttest■Für relationale Datenbanken:BenutzernameNeteAuto AdminKennworttestDie Liste auf Aufgaben, die der NeteAuto-Administrator ausführen kann, wird aufder linken Seite der Benutzerkonsole angezeigt. Da der NeteAuto-Administrator nureine beschränkte Anzahl von Aufgaben ausführen kann, listet CA IdentityMinder dieAufgaben anstelle von Kategorien auf.2. Klicken Sie auf "Gruppe ändern".3. Klicken Sie auf "Suchen".CA IdentityMinder zeigt eine Liste von Gruppen an.4. Markieren Sie die Händler-Administratoren, und klicken Sie auf "Auswählen".5. Klicken Sie auf die Registerkarte "Mitgliedschaft" und anschließend auf die Optionzum Hinzufügen eines Benutzers.Das Fenster "Benutzer auswählen" wird angezeigt.6. Klicken Sie auf "Suchen".7. Wählen Sie im Benutzer-Suchfenster den Benutzer, den Sie unter "Als neuenBenutzer registrieren" (siehe Seite 38) eingegeben haben. Klicken Sie auf"Auswählen".Kapitel 2: Beispiel einer CA IdentityMinder-Umgebung 45

So werden zusätzliche Funktionen konfiguriert8. Klicken Sie auf "Senden".CA IdentityMinder bestätigt die Aufgabenvorlage.9. Klicken Sie auf "OK", um zum Hauptbildschirm zurückzukehren.Um zu bestätigen, dass der Benutzer ein Mitglied der erstellten Gruppe ist, verwendenSie die Aufgabe zum Anzeigen von Gruppen.So werden zusätzliche Funktionen konfiguriertSobald Sie das NeteAuto-Beispiel installiert und den Umgang mit der grundlegenden CAIdentityMinder-Funktionalität geübt haben, verwenden Sie die NeteAuto-Umgebung,um den Umgang mit zusätzlichen CA IdentityMinder-Funktionen einschließlichE-Mail-Benachrichtigungen und Workflow zu üben und diese zu testen.Hinweis: Weitere Informationen zu diesen Funktionen finden Sie imAdministrationshandbuch.Einschränkung beim SiteMinder-Anmeldenamen für globalenBenutzernamenFolgende Zeichen oder Zeichenfolgen darf ein globaler Benutzername nicht enthalten,wenn der Benutzer sich auf dem SiteMinder-Richtlinienserver anmelden können soll:&*:()BehelfslösungVermeiden Sie die Verwendung dieser Zeichen im globalen Benutzernamen.46 Konfigurationshandbuch

Kapitel 3: Verwaltung desLDAP-BenutzerspeichersDieses Kapitel enthält folgende Themen:CA IdentityMinder-Verzeichnisse (siehe Seite 47)So erstellen Sie ein CA IdentityMinder-Verzeichnis (siehe Seite 48)Verzeichnisstruktur (siehe Seite 48)Verzeichniskonfigurationsdatei (siehe Seite 50)So wählen Sie eine Verzeichnis-Konfigurations-Vorlage aus (siehe Seite 51)So wird ein Benutzerverzeichnis für CA IdentityMinder beschrieben (siehe Seite 53)Verbindung zum Benutzerverzeichnis (siehe Seite 54)Verzeichnissuchparameter (siehe Seite 58)Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten Objekte(siehe Seite 60)Bekannte Attribute für einen LDAP-Benutzerspeicher (siehe Seite 79)Beschreiben der Benutzerverzeichnisstruktur (siehe Seite 87)So konfigurieren Sie Gruppen (siehe Seite 88)Validierungsregeln (siehe Seite 91)Zusätzliche Eigenschaften des CA IdentityMinder-Verzeichnisses (siehe Seite 92)So verbessern Sie die Leistung von Verzeichnissuchen (siehe Seite 96)CA IdentityMinder-VerzeichnisseEin CA IdentityMinder-Verzeichnis beschreibt, wie Objekte wie etwa Benutzer, Gruppenund Organisationen im Benutzerverzeichnis gespeichert werden und wie diese in CAIdentityMinder dargestellt werden. Ein CA IdentityMinder-Verzeichnis ist einer odermehreren CA IdentityMinder-Umgebungen zugeordnet.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 47

So erstellen Sie ein CA IdentityMinder-VerzeichnisSo erstellen Sie ein CA IdentityMinder-VerzeichnisBeim Erstellen eines CA IdentityMinder-Verzeichnisses für einen LDAP-Benutzerspeichersind die folgenden Schritte durchzuführen:1. Festlegen der Verzeichnisstruktur.2. Beschreiben der Objekte im Benutzerspeicher durch Ändern einerVerzeichniskonfigurationsdatei (directory.xml) (siehe Seite 53).3. Importieren der Verzeichniskonfigurationsdatei und Erstellen des Verzeichnisses(siehe Seite 157).Hinweis: Ü berprüfen Sie bei der Verwendung von SiteMinder, dass Sie vor dem Erstellendes CA IdentityMinder-Verzeichnisses das Richtlinienspeicherschema angewendethaben. Weitere Informationen zu spezifischen Richtlinienspeicherschemen und darüber,wie diese anzuwenden sind, können Sie dem Installationshandbuch entnehmen.VerzeichnisstrukturCA IdentityMinder unterstützt die folgenden Verzeichnisstrukturen:■Hierarchisch - Enthält eine übergeordnete Organisation (Stamm) undUnterorganisationen. Die Unterorganisationen können ebenfallsUnterorganisationen besitzen, was zu einer Multiebenen-Struktur führt. Dies lässtsich in der folgenden Abbildung erkennen:48 Konfigurationshandbuch

Verzeichnisstruktur■Flach - Benutzer und Gruppen werden im Suchstamm oder in einem Container eineEbene unterhalb des Suchstamms gespeichert. Organisationen besitzen einehierarchische Struktur, wie in der folgenden Abbildung einer flachenVerzeichnisstruktur angezeigt wird:Um die Benutzerverwaltung und Delegation in flachen Verzeichnisstrukturen zuerleichtern, gehören Benutzer und Gruppen zu logischen Organisationen. Dielogische Organisation wird als ein Attribut in Benutzer- und Gruppenprofilengespeichert.■Flache Benutzer - Organisationen und Gruppen werden hierarchisch gespeichert.Benutzer werden jedoch im Suchstamm oder in einem Container eine Ebeneunterhalb des Suchstamms gespeichert. Die Darstellung der Verzeichnisstruktureines flachen Benutzers wird im folgenden Diagramm angezeigt:In den Verzeichnisstrukturen eines flachen Benutzers gehören Benutzer zulogischen Organisationen. Die logische Organisation eines Benutzers wird alsAttribut in einem Benutzerprofil gespeichert.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 49

Verzeichniskonfigurationsdatei■Keine Organisationen - Das Verzeichnis schließt keine Organisationen ein. Benutzerund Gruppen werden im Suchstamm oder in einem Container eine Ebene unterhalbdes Suchstamms gespeichert. Die Verzeichnisstruktur zu "Keine Organisationen"wird in der folgenden Darstellung angezeigt:Hinweis: Ein Verzeichnis kann mehr als einen Strukturtyp enthalten. Beispiel:Benutzerprofile können in einer flachen Struktur in einem Teil des Verzeichnisses undhierarchisch in einem anderen gespeichert werden. Um eine hybride Verzeichnisstrukturzu unterstützen, erstellen Sie mehrere CA IdentityMinder-Umgebungen.VerzeichniskonfigurationsdateiUm CA IdentityMinder die Struktur eines Benutzerverzeichnisses zu beschreiben,erstellen Sie eine Verzeichniskonfigurationsdatei.Die Verzeichniskonfigurationsdatei enthält einen oder mehrere der folgendenAbschnitte:Informationen zum CA IdentityMinder-VerzeichnisEnthält Informationen über das CA IdentityMinder-Verzeichnis.Hinweis: Ändern Sie keine Information in diesem Abschnitt. CA IdentityMinderfordert Sie auf, diese Information anzugeben, wenn Sie ein CAIdentityMinder-Verzeichnis in der Management-Konsole erstellen.AttributvalidierungDefiniert die Validierungsregeln, die auf das CA IdentityMinder-Verzeichnisangewandt werden.Informationen zum AnbieterBeschreibt den Benutzerspeicher, den CA IdentityMinder verwaltet.Informationen zur VerzeichnissucheErmöglicht Ihnen, anzugeben, wie CA IdentityMinder den Benutzerspeicherdurchsucht.50 Konfigurationshandbuch

So wählen Sie eine Verzeichnis-Konfigurations-Vorlage ausBenutzerobjektBeschreibt, wie Benutzer im Benutzerspeicher gespeichert und wie sie in CAIdentityMinder dargestellt werden.GruppenobjektBeschreibt, wie Gruppen im Benutzerspeicher gespeichert und wie sie in CAIdentityMinder dargestellt werden.OrganisationsobjektBeschreibt, wie Organisationen gespeichert und wie sie in CA IdentityMinderdargestellt werden. Das Organisationsobjekt stellt nur dann Details bereit, wennder Benutzerspeicher Organisationen enthält.Self-Subscribing-ObjektKonfiguriert die Unterstützung für Gruppen, denen Self-Service-Benutzer beitretenkönnen.Verhalten der Verzeichnis-GruppenGibt an, ob das CA IdentityMinder-Verzeichnis dynamische und verschachtelteGruppen unterstützt.Um eine Verzeichniskonfigurationsdatei zu erstellen, ändern Sie eineKonfigurationsvorlage.So wählen Sie eine Verzeichnis-Konfigurations-Vorlage ausCA IdentityMinder liefert Verzeichniskonfigurationsvorlagen, die unterschiedlicheVerzeichnistypen und -strukturen unterstützen. Um ein CA IdentityMinder-Verzeichniszu erstellen, ändern Sie die Vorlage, die Ihrer Verzeichnisstruktur am nächsten kommt.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 51

So wählen Sie eine Verzeichnis-Konfigurations-Vorlage ausDie in der folgenden Tabelle beschriebenen Vorlagen werden mit denAdministrations-Tools installiert:admin_tools\directoryTemplates\directory_type\Die Verwaltungstools werden in den folgenden Standardordnern gespeichert:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsDie Typen von Verzeichnissen und die entsprechenden Konfigurationsvorlagen werdenin der folgenden Tabelle angezeigt:VerzeichnistypActive Directory (ADSI) LDAP-Verzeichnis mit einerhierarchischen StrukturMicrosoft ADAM-Verzeichnis mit einer hierarchischenStrukturIBM Directory Server-Verzeichnis mit einerhierarchischen StrukturNovell eDirectory-Benutzerverzeichnis mit einerhierarchischen StrukturOracle Internet Directory mit einer hierarchischenStrukturSun Java-System (SunOne oder iPlanet)LDAP-Verzeichnis mit einer hierarchischen StrukturVorlageActiveDirectory\directory.xmlADAM\directory.xmlIBMDirectoryServer\directory.xmleDirectory\directory.xmlOracleInternetDirectory\directory.xmlIPlanetHierarchical\directory.xmlSun Java-System (SunOne oder iPlanet)LDAP-Verzeichnis mit einer flachen StrukturSun Java-System (SunOne oder iPlanet)LDAP-Verzeichnis, das keine Organisationen enthält.IPlanetFlat\directory.xmlIPlanetNoOrganizations\directory.xmlCA Directory-Benutzerspeicher mit einerhierarchischen StrukturBereitstellungsverzeichnisDiese Vorlage konfiguriert dasBereitstellungsverzeichnis (Provisioning-Verzeichnis)für eine CA IdentityMinder-Umgebung.Hinweis: Sie können diese Konfigurationsvorlage wieinstalliert verwenden. Sie müssen diese Vorlage nichtändern.eTrustDirectory\directory.xmlProvisioningServer\directory.xml52 Konfigurationshandbuch

So wird ein Benutzerverzeichnis für CA IdentityMinder beschriebenVerzeichnistypBenutzerdefiniertes VerzeichnisVorlageVerwenden Sie die Vorlage, die Ihrem Verzeichnis amnächsten kommt.Kopieren Sie die Konfigurationsvorlage in ein neues Verzeichnis, oder speichern Sie sieunter einem anderen Namen, damit sie nicht überschrieben wird.So wird ein Benutzerverzeichnis für CA IdentityMinderbeschriebenUm ein Verzeichnis zu verwalten, muss CA IdentityMinder die Struktur und den Inhalteines Verzeichnisses verstehen. Um das Verzeichnis für CA IdentityMinder zubeschreiben, ändern Sie die Verzeichniskonfigurationsdatei (directory.xml) imentsprechenden Vorlagenverzeichnis.Die Verzeichniskonfigurationsdatei weist die folgenden wichtigen Konventionen auf:■■## - Kennzeichnet erforderliche Werte.Um sämtliche erforderlichen Information anzugeben, müssen Sie alle doppeltenRautenzeichen (##) ausfindig machen und diese durch entsprechende Werteersetzen. Beispiel: ##DISABLED_STATE zeigt an, dass Sie ein Attribut bereitstellenmüssen, um den Kontostatus eines Benutzers zu speichern.@ - Kennzeichnet Werte, die von CA IdentityMinder ausgefüllt werden. Diese Wertedürfen in der Verzeichniskonfigurationsdatei nicht geändert werden. CAIdentityMinder fordert Sie beim Import der Verzeichniskonfigurationsdatei auf,diese Werte anzugeben.Bevor Sie die Verzeichniskonfigurationsdatei ändern, benötigen Sie die folgendenInformationen:■■LDAP-Objektklassen für die Benutzer-, Gruppen- und OrganisationsobjekteListe von Attributen in Benutzer-, Gruppen- und OrganisationsprofilenSo wird die Verzeichniskonfigurationsdatei geändertFühren Sie die folgenden Schritte aus, um die Verzeichniskonfigurationsdatei zu ändern.Hinweis: Schritte, die erforderlich sind, werden entsprechend aufgeführt.1. Begrenzen Sie den Umfang der Suchergebnisse (siehe Seite 58).2. Ändern Sie die durch Standardbenutzer, Organisation oder Gruppe verwaltetenObjekte.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 53

Verbindung zum Benutzerverzeichnis3. Ändern Sie die Standardattributbeschreibungen.4. Ändern Sie bekannte Attribute (siehe Seite 79). (erforderlich)Bekannte Attribute kennzeichnen besondere Attribute, wie das Kennwortattribut inCA IdentityMinder.5. Konfigurieren Sie CA IdentityMinder für Ihre Verzeichnisstruktur (siehe Seite 87)(erforderlich).6. Ermöglicht es Benutzern, sich an Gruppen anzumelden (siehe Seite 88).Verbindung zum BenutzerverzeichnisCA IdentityMinder stellt eine Verbindung zu einem Benutzerverzeichnis her, umInformationen, wie etwa zu Benutzer, Gruppe oder auch organisatorische Information,wie in der folgenden Darstellung angezeigt zu speichern:Ein neues Verzeichnis oder eine neue Datenbank sind nicht erforderlich. Allerdingsmüssen das bestehende Verzeichnis oder die Datenbank auf einem System vorhandensein, das einen vollständig qualifizierten Domänennamen besitzt (FQDN).Eine Liste der unterstützten Verzeichnis- und Datenbanktypen finden Sie über die CAIdentityMinder-Support-Matrix auf der CA Support-Website.Sie konfigurieren eine Verbindung zum Benutzerspeicher, wenn Sie ein CAIdentityMinder-Verzeichnis in der Management-Konsole erstellen.Wenn Sie die Verzeichniskonfiguration exportieren, nachdem Sie ein CAIdentityMinder-Verzeichnis erstellt haben, werden die Verbindungsinformationen zumBenutzerverzeichnis im Anbieter-Element der Verzeichniskonfigurationsdatei angezeigt.54 Konfigurationshandbuch

Verbindung zum BenutzerverzeichnisProvider-ElementKonfigurationsinformationen werden im Anbieter-Element und dessen Unterelementenin der directory.xml-Datei gespeichert.Hinweis: Wenn Sie ein CA IdentityMinder-Verzeichnis erstellen, müssen Sie keineVerzeichnisverbindungsinformationen in der Datei "directory.xml" angeben. DieVerbindungsinformationen werden im Assistenten für CA IdentityMinder-Verzeichnissein der Management-Konsole angegeben. Ändern Sie das Provider-Element nur fürAktualisierungen.Das Provider-Element beinhaltet die folgenden Unterelemente:LDAPBeschreibt das Benutzerverzeichnis, zu dem Sie eine Verbindung herstellen.AnmeldeinformationenGibt den Benutzernamen und das Kennwort für den Zugriff auf denLDAP-Benutzerspeicher an.VerbindungGibt den Hostnamen und den Port für den Computer an, auf dem sich derBenutzerspeicher befindet.BereitstellungsdomäneDefiniert die Provisioning-Domäne, die durch CA IdentityMinder verwaltet wird(ausschließlich für Provisioning-Benutzer).Ein abgeschlossenes Anbieter-Element entspricht dem folgenden Code:@SMDirPasswordKapitel 3: Verwaltung des LDAP-Benutzerspeichers 55

Verbindung zum BenutzerverzeichnisLDAP-UnterelementDas Anbieter-Element umfasst die folgenden Parameter:typeGibt den Typ der Datenbank an. Geben Sie LDAP (Standard) für alleLDAP-Benutzerspeicher an.userdirectoryGibt den Namen der Benutzerverzeichnisverbindung an.Hinweis: Geben Sie keinen Namen für die Benutzerverzeichnisverbindung in derDatei "directory.xml" an. CA IdentityMinder fordert Sie auf, den Namen anzugeben,wenn Sie das CA IdentityMinder-Verzeichnis in der Management-Konsole erstellen.Hinweis: Die Parameter sind optional.Das LDAP-Unterelement enthält die folgenden Parameter:searchrootsicherGibt den Speicherort in einem LDAP-Verzeichnis an, das als Ausgangspunkt für dasVerzeichnis dient. Ü blicherweise ist dies eine Organisation (O) oder eineOrganisationseinheit (OU).Erzwingt eine Secure Sockets Layer (SSL) Verbindung zum LDAP-Benutzerverzeichniswie folgt:■■True - CA IdentityMinder verwendet eine sichere Verbindung.False - CA IdentityMinder stellt ohne SSL (Standard) eine Verbindung zumBenutzerverzeichnis her.Hinweis: Die Parameter sind optional.Anmeldeinformationen-UnterelementUm eine Verbindung zu einem LDAP-Verzeichnis herzustellen, muss CA IdentityMindergültige Anmeldeinformationen bereitstellen. Die Anmeldeinformationen werden in demAnmeldeinformationen-Unterelement definiert, das dem folgenden Code entspricht:"MyPassword"Sofern Sie kein Kennwort in den Anmeldeinformationen angeben, verlangt dasUnterelement nach dem Kennwort, wenn Sie das CA IdentityMinder-Verzeichnis in derManagement-Konsole erstellen.Hinweis: Es wird empfohlen, das Kennwort in der Management-Konsole anzugeben.56 Konfigurationshandbuch

Verbindung zum BenutzerverzeichnisWenn Sie das Kennwort in der Management-Konsole angeben, wird es von CAIdentityMinder verschlüsselt. Andernfalls sollten Sie das Kennwort mit demKennwort-Tool, das zusammen mit CA IdentityMinder installiert wird, verschlüsseln,sodass dieses nicht als unverschlüsselter Text angezeigt wird.Hinweis: Sie können nur einen Satz von Anmeldeinformationen angeben. Wenn Siemehrere Verzeichnisse definieren, wie im Verbindungs-Unterelement beschrieben,müssen die von Ihnen angegebenen Anmeldeinformationen für alle Verzeichnissegelten.Das Anmeldeinformationen-Unterelement enthält die folgenden Parameter:userGibt die Anmelde-ID für ein Konto an, das auf das Verzeichnis zugreifen kann.Bei Provisioning-Benutzern muss das Benutzerkonto, das Sie angeben, dasDomänenadministrator-Profil oder ein gleichwertiges Set von Berechtigungen imProvisioning-Server besitzen.Hinweis: Geben Sie keinen Wert für den Benutzerparameter in derdirectory.xml-Datei an. CA IdentityMinder fordert Sie beim Erstellen des CAIdentityMinder-Verzeichnisses in der Management-Konsole zur Eingabe derAnmelde-ID auf.cleartextVerbindungs-UnterelementLegt fest, ob das Kennwort wie folgt im Fließtext in der directory.xml-Dateiangezeigt wird:■■True - Das Kennwort wird als unverschlüsselter Text angezeigt.False - Das Kennwort wird verschlüsselt (Standardeinstellung).Hinweis: Die Parameter sind optional.Das Verbindungs-Unterelement beschreibt den Speicherort des Benutzerspeichers, denCA IdentityMinder verwaltet. Dieses Unterelement enthält die folgenden Parameter:HostportGibt den Hostnamen oder die IP-Adresse des Systems an, in dem sich dasBenutzerverzeichnis befindet.Hinweis: Wenn das verbundene System eine IPv6-Adresse aufweist, fügen Sie dieIP-Adresse innerhalb der Klammern ([ ]) wie folgt bei:Gibt die Port-Nummer für das Benutzerverzeichnis an.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 57

VerzeichnissuchparameterFailoverProvisioning-UnterelementGibt den Hostnamen und die IP-Adresse des Systems an, in dem redundanteBenutzerspeicher vorhanden sind. Dies ist für den Fall vorgesehen, dass dasPrimärsystem nicht verfügbar ist. Wenn das Primärsystem wieder verfügbar ist,kann das Failover-System wieder verwendet werden. Um zur Verwendung desPrimärsystems zurückzukehren, starten Sie das sekundäre System neu. Wennmehrere Server aufgelistet sind, versucht CA IdentityMinder, eine Verbindung zuden Systemen in der aufgelisteten Reihenfolge herzustellen.Geben Sie den Hostnamen und die IP-Adresse im Failover-Attribut in einerunterteilten Liste wie folgt an:failover="IPaddress:port IPaddress:port"Beispiel:Hinweis: Port 20389 ist der Standard-Port für den Provisioning-Server.Hinweis: Die Parameter sind optional.Wenn die CA IdentityMinder-Umgebung eine Bereitstellung umfasst, definieren Sie dieProvisioning-Domäne folgendermaßen:Das Provisioning-Unterelement enthält den folgenden Parameter:domainGibt den Namen der Provisioning-Domäne an, die durch CA IdentityMinderverwaltet wird.Wenn Sie das CA IdentityMinder-Verzeichnis in der Management-Konsole erstellen,werden Sie nach dem Domänennamen gefragt. Ü berprüfen Sie, dass Sie einen Wert fürden Domänenparameter in der Verzeichniskonfigurationsdatei (directory.xml) angeben.VerzeichnissuchparameterSie können die folgenden Suchparameter im DirectorySearch-Element festlegen:maxrowsGibt die maximale Zahl an Objekten an, die CA IdentityMinder beim Suchen ineinem Benutzerverzeichnis zurückgeben kann. Wenn die Anzahl an Objekten dasLimit überschreitet, wird ein Fehler angezeigt.58 Konfigurationshandbuch

VerzeichnissuchparameterDurch Festlegen eines Wertes für den Maxrows-Parameter, können Sie dieEinstellungen im LDAP-Verzeichnis überschreiben, welche die Suchergebnissebeschränken. Wenn diese im Gegensatz stehen, verwendet der LDAP-Server dieniedrigste Einstellung.Hinweis: Der Maxrows-Parameter beschränkt nicht die Anzahl an Objekten, die ineinem CA IdentityMinder-Aufgabenfenster angezeigt werden. Um dieAnzeigeeinstellungen zu konfigurieren, ändern Sie die Listenfensterdefinition in derCA IdentityMinder-Benutzerkonsole. Weitere Anweisungen finden Sie im Handbuchzum Benutzerkonsolendesign.maxpagesizeGibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Beachten Sie beim Spezifizieren von maxpagesize die folgenden Aspekte:■■Um die Option "maxpagesize" zu verwenden, muss der von CA IdentityMinderverwaltete Benutzerspeicher Paging unterstützen. EinigeBenutzerspeichertypen erfordern jedoch zusätzliche Konfigurationsschritte,damit sie Paging unterstützen. Weitere Informationen können Sie demAbschnitt "So verbessern Sie die Leistung bei großen Suchen" (siehe Seite 97)entnehmen.Wenn der Benutzerspeicher kein Paging unterstützt und auch ein Wert für"maxrows" angegeben wird, verwendet CA IdentityMinder ausschließlich denmaxrows-Wert, um die Suchgröße zu steuern.VerbindungszeitlimitGibt die maximale Anzahl an Sekunden an, die CA IdentityMinder in einemVerzeichnis sucht, bevor die Suche beendet wird.Hinweis: Das DirectorySearch-Element ist optional. Wenn das Verzeichnis allerdingsPaging (siehe Seite 97) unterstützt, wird empfohlen, das DirectorySearch-Elementanzugeben.Weitere Informationen:So verbessern Sie die Leistung von Verzeichnissuchen (siehe Seite 96)So verbessern Sie die Leistung von großen Suchen (siehe Seite 97)Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 59

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteBeschreibungen der über Benutzer, Gruppe und Organisationverwalteten ObjekteIn einem CA IdentityMinder verwalten Sie die folgenden Typen von Objekten, die denEingaben in einem Benutzerverzeichnis entsprechen:BenutzerDiese repräsentieren die Benutzer in einem Unternehmen. Ein Benutzer gehört zueiner einzelnen Organisation.GruppenDiese repräsentieren Verbindungen von Benutzern, die etwas gemeinsam haben.OrganisationenDiese repräsentieren Business Units. Organisationen enthalten Details zuBenutzern, Gruppen oder anderen Organisationen.Eine Objektbeschreibung enthält die folgenden Informationen:■■Informationen zum Objekt (siehe Seite 118), wie etwa zur LDAP-Objektklasse oderzum Container, in dem Objekte gespeichert werden.Die Attribute, in denen Informationen zu einem Eintrag gespeichert sind (sieheSeite 123). Zum Beispiel ist im Attribut "pager" eine Pagernummer gespeichert.Hinweis: Eine CA IdentityMinder-Umgebung unterstützt nur einen Typ von Benutzer,Gruppe oder Organisationsobjekt. Zum Beispiel weisen alle Benutzerobjekte die gleicheObjektklasse auf.Beschreibung von verwalteten ObjektenEin verwaltetes Objekt wird durch das Angeben der Objektinformation in denBenutzerobjekt-, Gruppenobjekt- und Organisationsobjekt-Abschnitten derVerzeichniskonfigurationsdatei beschrieben.Hinweis: Wenn die Konfigurationsvorlage (directory.xml-Datei) verwendet wird, ist derOrganisationsobjekt-Abschnitt für jene Benutzerverzeichnisse nicht verfügbar, die keineOrganisationen unterstützen.Jeder dieser Abschnitte enthält ImsManagedObject-Elemente, wie im folgenden Beispieldargestellt:60 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteAngeben von ObjektinformationenOptional kann das ImsManagedObject-Element ein Container-Element enthalten, wie imfolgenden Beispiel dargestellt:Objektinformationen werden angegeben, indem Sie Werte für verschiedene Parameterfestlegen.Gehen Sie wie folgt vor:1. Machen Sie das ImsManagedObject-Element im Benutzerobjekt-,Organisationsobjekt- oder Gruppenobjekt-Abschnitt ausfindig.2. Geben Sie Werte für die folgenden Parameter an:nameGibt einen eindeutigen Namen für das verwaltete Objekt an.Hinweis: Dieser Parameter ist erforderlich.BeschreibungEnthält eine Beschreibung des verwalteten Objekts.objectclassGibt den Namen der LDAP-Objektklasse für den Objekttyp (Benutzer, Gruppeoder Organisation) an. Die Objektklasse bestimmt die Liste der verfügbarenAttribute für ein Objekt.Wenn Attribute aus mehreren Objektklassen für einen Objekttyp gelten, listenSie die Objektklassen in einer durch Kommas abgegrenzten Liste auf. Wenn einObjekt zum Beispiel Attribute aus den Person-, Organizationalperson- oderInetorgperson-Objektklassen enthält, fügen Sie diese Objektklassen wie folgthinzu:objectclass="top,person,organizationalperson,inetorgperson"Jedes LDAP-Verzeichnis enthält ein Set von vordefinierten Objektklassen. In derVerzeichnisserver-Dokumentation finden Sie Informationen zu vordefiniertenObjektklassen.Hinweis: Dieser Parameter ist erforderlich.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 61

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteobjecttypeGibt den Typ des verwalteten Objekts an. Die folgenden Werte sind gültig:■■■UserOrganisationGruppeHinweis: Dieser Parameter ist erforderlich.maxrowsGibt die maximale Zahl an Objekten an, die CA IdentityMinder beim Suchen ineinem Benutzerverzeichnis zurückgeben kann. Wenn die Anzahl an Objektendas Limit überschreitet, wird ein Fehler angezeigt.Durch Festlegen eines Wertes für den Maxrows-Parameter, können Sie dieEinstellungen im LDAP-Verzeichnis überschreiben, welche die Suchergebnissebeschränken. Wenn diese im Gegensatz stehen, verwendet der LDAP-Serverdie niedrigste Einstellung.Hinweis: Der Maxrows-Parameter beschränkt nicht die Anzahl an Objekten, diein einem CA IdentityMinder-Aufgabenfenster angezeigt werden. Um dieAnzeigeeinstellungen zu konfigurieren, ändern Sie die Listenfensterdefinition inder CA IdentityMinder-Benutzerkonsole. Weitere Anweisungen finden Sie imHandbuch zum Benutzerkonsolendesign.maxpagesizeGibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Beachten Sie die folgenden Aspekte beim Angeben der Suchseiten-Größe:– Damit Sie die Option zur Festlegung der Seitengröße von Suchenverwenden können, muss der von CA IdentityMinder verwalteteBenutzerspeicher Paging unterstützen. Einige Benutzerspeichertypenerfordern jedoch zusätzliche Konfigurationsschritte, damit sie Pagingunterstützen. Weitere Informationen können Sie dem Abschnitt "Soverbessern Sie die Suchleistung" (siehe Seite 97) entnehmen.– Wenn der Benutzerspeicher kein Paging unterstützt und auch ein Wert für"maxrows" angegeben wird, verwendet CA IdentityMinder ausschließlichden maxrows-Wert, um die Suchgröße zu steuern.3. Stellen Sie optional die Container-Informationen bereit.62 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteContainerUm die Verwaltung zu vereinfachen, können Sie Objekte eines bestimmten Typs ineinem Container gruppieren. Wenn Sie einen Container in derVerzeichniskonfigurationsdatei angeben, verwaltet CA IdentityMinder ausschließlichEingaben in dem Container. Wenn Sie zum Beispiel einen Benutzer-Container namens"People" angeben, verwaltet CA IdentityMinder die Benutzer im People-Container, wiein den folgenden Abbildungen dargestellt:■Hierarchisches Verzeichnis■Flaches VerzeichnisIn diesen Beispielen liegen alle Benutzer in den People-Containern vor.Wenn Sie einen Container angeben, müssen Sie die folgenden Punkte beachten:■■Wenn kein Container in einer Organisation vorhanden ist, erstellt CA IdentityMinderden Container, sobald die erste Eingabe hinzugefügt wird. Beim einemhierarchischen Verzeichnis erstellt CA IdentityMinder den Container in derOrganisation, in der die Eingabe hinzugefügt wird. Bei flachen Verzeichnissen undbei jenen Verzeichnissen, die keine Organisationen unterstützen, erstellt CAIdentityMinder den Container unter dem Suchstamm, den Sie angeben, wenn Siedas CA IdentityMinder-Verzeichnis erstellen.CA IdentityMinder ignoriert Eingaben, die nicht im angegebenen Containervorhanden sind. Wenn Sie zum Beispiel den People-Container angeben, können Siekeine Benutzer verwalten, die außerhalb des People-Containers vorhanden sind.Hinweis: Um Benutzer zu verwalten, die nicht im angegebenen Containervorhanden sind, können Sie eine weitere CA IdentityMinder-Umgebung erstellen.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 63

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteContainer und bekannte AttributeBekannte Attribute sind Attribute, denen in CA IdentityMinder eine besondereBedeutung zukommt. Wenn CA IdentityMinder einen Benutzerspeicher einschließlichContainern verwaltet, identifizieren die folgenden bekannten Attribute dieInformationen zu den Containern:%ORG_MEMBERSHIP%Identifiziert das Attribut, das den vollständigen Namen (DN) des Containersspeichert.Zum Beispiel entspricht der vollständige Name Folgendem:ou=People, ou=Employee, ou=NeteAuto, dc=security, dc=com%ORG_MEMBERSHIP_NAME%Identifiziert das Attribut, das den benutzerfreundlichen Namen des Attributsspeichert.So lautet zum Beispiel der benutzerfreundliche Name des Containers im vorigenBeispiel "People".Diese bekannten Attribute werden folgendermaßen in den Attributbeschreibungen inden Benutzerobjekt- und Gruppenobjekt-Abschnitten der directory.xml-Datei angezeigt:Für hierarchische Benutzerspeicher-Strukturen werden die physicalname-Parameterund die bekannten Parameter wie folgt zum bekannten Attribut zugeordnet:Das Beispiel zeigt an, dass CA IdentityMinder automatisch den Container-DN und denbenutzerfreundlichen Namen aus anderen Informationen in der directory.xml-Dateiableitet.Stellen Sie für flache Benutzerspeicher-Strukturen die physischen Attributnamen bereit.Hinweis: Entsprechende Anweisungen finden Sie im Abschnitt "So beschreiben Sie eineflache Benutzerverzeichnis-Struktur" (siehe Seite 87).64 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteGeben Sie einen Benutzer- oder Gruppen-Container an.Führen Sie den folgenden Vorgang aus, um einen Benutzer- oder Gruppen-Containeranzugeben.Gehen Sie wie folgt vor:1. Machen Sie das Container-Element im Benutzerobjekt- oderGruppenobjekt-Abschnitt ausfindig.2. Geben Sie Werte für die folgenden Parameter an:objectclassLegt die LDAP-Objektklasse des Containers fest, in dem die Objekte einesbestimmten Typs erstellt werden. Zum Beispiel ist der Standardwert für denBenutzercontainer "top,organizationalUnit", was anzeigt, dass Benutzer inLDAP-Organisationseinheiten (ou) erstellt werden.Wenn Sie dynamische oder verschachtelte Gruppen verwalten, müssen Siesicherstellen, dass Sie eine Objektklasse angeben, die diese Gruppentypenunterstützt (siehe Seite 89).AttributvalueHinweis: Dieser Parameter ist erforderlich.Gibt das Attribut an, das den Containernamen, zum Beispiel "ou", speichert.Das Attribut wird paarweise mit dem Wert angeordnet, um das relative DN desContainers zu bilden, wie im folgenden Beispiel dargestellt:ou=PeopleHinweis: Dieser Parameter ist erforderlich.Gibt den Namen des Containers an.Hinweis: Dieser Parameter ist erforderlich.Hinweis: Sie können keine Container für Organisationen angeben.AttributbeschreibungenEin Attribut speichert Information zu einer Eingabe, wie etwa eine Telefonnummer oderAdresse. Ein Eingabeattribut bestimmt das entsprechende Profil.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 65

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteIn der Verzeichniskonfigurationsdatei werden Attribute inImsManagedObjectAttr-Elementen beschrieben. In den Benutzerobjekt-,Gruppenobjekt- und Organisationsobjekt-Abschnitten derVerzeichniskonfigurationsdatei können Sie die folgenden Aktionen durchführen:■■Ändern Sie die Standardattributbeschreibungen, um die Attribute in IhremBenutzerspeicher zu beschreiben.Erstellen Sie neue Attributbeschreibungen, indem Sie eine vorhandeneBeschreibung kopieren und Werte nach Bedarf ändern.Für jedes Attribut in Benutzer-, Gruppen- und Organisationsprofilen liegt einImsManagedObjectAttr-Element vor. So wird zum Beispiel einImsManagedObjectAttr-Element als Benutzer-ID bezeichnet.Ein ImsManagedObjectAttr-Element entspricht dem folgenden Code:ImsManagedObjectAttr weist die folgenden Parameter auf:physicalnameDieser Parameter muss eines der folgenden Elemente enthalten:■Der Name des LDAP-Attributs, in dem der Profilwert gespeichert wird. DieBenutzer-ID wird zum Beispiel im uid-Attribut im Benutzerverzeichnisgespeichert.Hinweis: Um die Leistung zu verbessern, indizieren Sie LDAP-Attribute, die inSuchanfragen in der Benutzerkonsole verwendet werden.■Ein bekanntes Attribut (siehe Seite 79). Wenn Sie ein bekanntes Attributbereitstellen, berechnet CA IdentityMinder den Wert automatisch. ZumBeispiel bestimmt CA IdentityMinder nach dem Angeben des bekanntenAttributs %ORG_MEMBERSHIP% basierend auf dem DN einer Eingabe jeneOrganisation, zu der die Eingabe gehört.BeschreibungEnthält die Beschreibung des Attributs66 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjektedisplayNameGibt einen eindeutigen Namen für das Attribut an.In der Benutzerkonsole wird der Anzeigename in der Liste der verfügbarenAttribute angezeigt, die einem Aufgabenfenster hinzugefügt werden können. DieserParameter ist erforderlich.Hinweis: Sie dürfen den Anzeigenamen eines Attributs in derVerzeichniskonfigurationsdatei (directory.xml) nicht ändern. Um den Namen desAttributs in einem Aufgabenfenster zu ändern, geben Sie in derAufgabenfensterdefinition eine Bezeichnung für das Attribut an. WeitereInformationen finden Sie im Administrationshandbuch.valuetypeGibt den Datentyp des Attributs an. Die folgenden Werte sind gültig:ZeichenfolgeIntegerNumberDatumDer Wert kann eine beliebige Zeichenfolge sein.Dies ist der Standardwert.Der Wert muss eine Ganzzahl sein.Hinweis: Der Parameter "Integer" unterstützt keine Dezimalzahlen.Der Wert muss eine Ganzzahl sein. Der Parameter "Number" unterstütztDezimalzahlen.Der Wert muss sich in ein gültiges Datum nach folgendem Muster auflösenlassen:ISODateMM/TT/JJJJDer Wert muss sich in ein gültiges Datum nach dem Muster JJJJ-MM-TTauflösen lassen.UnicenterDateDer Wert muss sich in ein gültiges Datum nach dem Muster JJJJJJJTTT auflösenlassen. Dabei gilt:"JJJJJJJ" ist eine siebenstellige Darstellung für ein Jahr, bei dem am Anfang vorder eigentlichen Jahreszahl drei Nullen stehen. Beispiel: 0002008"TTT" ist eine dreistellige Darstellung für einen Tag, bei dem am Anfang je nachBedarf Nullen gesetzt werden. Die gültigen Werte umfassen hierbei denBereich von 001 bis 366.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 67

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekterequiredStrukturiertDieser Typ von Attribut besteht aus strukturierten Daten, die es einemeinzelnen Attributwert ermöglichen, mehrere verknüpfte Werte zu speichern.Zum Beispiel enthält ein strukturiertes Attribut etwa Werte zu Vornamen,Nachnamen oder E-Mail-Adressen.Bestimmte Endpunkttypen verwenden diese Attribute, werden aber durch CAIdentityMinder verwaltet.Hinweis: CA IdentityMinder kann strukturierte Attribute in einer Tabelle in derBenutzerkonsole anzeigen. Wenn Benutzer Werte in der Tabelle bearbeiten,werden die Werte im Benutzerspeicher gespeichert und zurück zum Endpunktübertragen. Weitere Informationen zum Anzeigen von Attributen mit mehrerenWerten finden Sie im Administrationshandbuch.Zeigt folgendermaßen an, ob das Attribut erforderlich ist:■■True - Das Attribut ist erforderlich.False - Das Attribut ist optional (Standard).Hinweis: Wenn ein Attribut für einen LDAP-Verzeichnisserver erforderlich ist, legenSie den erforderlichen Parameter auf "Wahr" (True) fest.mehrwertigZeigt an, ob das Attribut mehrere Werte aufweisen kann. So ist zum Beispiel dasAttribut der Gruppenmitgliedschaft mehrwertig, damit das Benutzer-DN jedesGruppenmitglieds gespeichert werden kann. Die folgenden Werte sind gültig:■■True - Das Attribut kann mehrere Werte aufweisen.False - Das Attribut kann nur einen Einzelwert (Standard) aufweisen.Wichtig! Die Attribute der Gruppenmitgliedschaft und der Admin-Rollen müssen inder Benutzerobjekt-Definition mehrwertig sein.wellknownDefiniert den Namen des bekannten Attributs.Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder (sieheSeite 79). Sie werden über die Syntax identifiziert:%ATTRIBUTENAME%maxlengthDefiniert die maximale Länge, die der Wert eines Attributs haben kann. Legen Sieden maxlength-Parameter auf 0 fest, um eine unbegrenzte Länge anzugeben.Hinweis: Dieser Parameter ist erforderlich.68 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjektepermissionhiddenZeigt an, ob der Wert eines Attributs in einem Aufgabenfenster geändert werdenkann. Die folgenden Werte sind gültig:READONLYDer Wert wird angezeigt, kann aber nicht geändert werden.WRITEONCEDer Wert kann nicht mehr geändert werden, nachdem das Objekt erstelltwurde. Zum Beispiel kann eine Benutzer-ID nicht geändert werden, nachdemder Benutzer erstellt wurde.READWRITEDer Wert kann geändert werden (Standardeinstellung).Zeigt an, ob ein Attribut in CA IdentityMinder-Aufgabenformularen angezeigt wird.Die folgenden Werte sind gültig:■■systemTrue - Das Attribut wird den Benutzern nicht angezeigt.False - Das Attribut wird den Benutzern angezeigt (Standardeinstellung).Logische Attribute verwenden verborgene Attribute.Hinweis: Weitere Informationen finden Sie im Programmierhandbuch für Java.Gibt ausschließlich die von CA IdentityMinder verwendeten Attribute an. Benutzerin der Benutzerkonsole sollen die Attribute nicht ändern. Die folgenden Werte sindgültig:■■True - Benutzer dürfen das Attribut nicht ändern. Das Attribut wird auf der CAIdentityMinder-Benutzeroberfläche ausgeblendet.Falsch - Benutzer können dieses Attribut ändern. Das Attribut ist verfügbar, umzu Aufgabenfenstern auf der CA IdentityMinder-Benutzeroberflächehinzugefügt zu werden. (Standard)validationrulesetVerknüpft einen Validierungsregelsatz mit dem Attribut.Ü berprüfen Sie, dass der Validierungsregelsatz, den Sie angeben, in einemValidationRuleSet-Element in der Verzeichniskonfigurationsdatei definiert ist.objectclassZeigt die LDAP-Hilfsklasse für ein Benutzer-, Gruppen- oder Organisationsattributan, wenn das Attribut nicht Teil der im ImsManagedObject-Element angegebenenprimären Objektklasse ist.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 69

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteNehmen Sie zum Beispiel an, dass die primäre Objektklasse für Benutzer "top","person" und "organizationalperson" ist, wodurch die folgenden Benutzerattributedefiniert werden:■■■■allgemeiner Name (cn)Zuname (sn)Benutzer-ID (uid)Kennwort (userPassword)Um das Attribut "employeeID" einzuschließen, das in der Mitarbeiter-Hilfsklassedefiniert wird, fügen Sie die folgende Attributbeschreibung hinzu:Geben Sie Attributbeschreibungen an.Das Beschreiben von Attributen beinhaltet die folgenden Schritte:1. Lesen Sie die zugehörigen Abschnitte zu den folgenden Themen:■ CA Directory - Ü berlegungen (siehe Seite 77)■ Microsoft Active Directory-Ü berlegungen (siehe Seite 78)■ IBM-Verzeichnisserver-Ü berlegungen (siehe Seite 78)■ Oracle Internet Directory-Ü berlegungen (siehe Seite 79)2. Führen Sie in den Benutzerobjekt-, Gruppenobjekt- undOrganisationsobjekt-Abschnitten der Verzeichniskonfigurationsdatei die folgendenAktionen durch:■■Ändern Sie die Standardattributbeschreibungen, um Ihre Verzeichnisattributezu beschreiben.Erstellen Sie neue Attributbeschreibungen, indem Sie eine vorhandeneBeschreibung kopieren und Werte nach Bedarf ändern.Hinweis: Nehmen Sie an, dass eine neue Attributbeschreibung erstellt und einphysisches Attribut angegeben wird. Stellen Sie sicher, dass das physische Attributin der Objektklasse (oder Klassen) vorhanden ist, die Sie für den Objekttypangegeben haben.70 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten Objekte3. (Optional) Ändern Sie die Anzeigeeinstellungen (siehe Seite 74) für das Attribut, umein Anzeigen sensibler Information, wie etwa Kennwörter oder Gehälter, in derBenutzerkonsole zu verhindern.4. (Optional) Konfigurieren Sie eine Standardsortierreihenfolge.5. Wenn Sie ein Verzeichnis mit einer flachen Struktur oder einer flachenBenutzerstruktur oder ein Verzeichnis, das Organisationen ausschließt, verwalten,navigieren Sie zum Abschnitt "Beschreiben der Benutzerverzeichnisstruktur (sieheSeite 87)".Verwalten vertraulicher AttributeCA IdentityMinder bietet die folgenden Methoden für die Verwaltung vertraulicherAttribute:■Datenklassifizierungen für AttributeMithilfe von Datenklassifizierungen können Sie Anzeige- undVerschlüsselungseigenschaften für Attribute in der Verzeichniskonfigurationsdatei(directory.xml) festlegen.Sie können Datenklassifizierungen, die vertrauliche Attribute verwalten, wie folgtdefinieren:– Zeigen Sie in den CA IdentityMinder-Aufgabenfenstern den Wert einesAttributs als Reihe von Sternchen an.Zum Beispiel können Sie Kennwörter als Sternchen anstelle von Klartextanzeigen.– Blenden Sie den Attributwert in den Fenstern "Gesendete Aufgaben anzeigen"aus.Mithilfe dieser Option können Sie Attribute ausblenden, damit Administratorensie nicht sehen. Zum Beispiel können Gehaltsdetails wie die Höhe des Gehaltsvor Administratoren verborgen werden, die den Aufgabenstatus in CAIdentityMinder anzeigen, aber keine Gehaltsdetails anzeigen müssen.■– Ignorieren Sie bestimmte Attribute, wenn Sie eine Kopie eines vorhandenenObjekts erstellen.– Verschlüsseln von AttributenFeldtypen in AufgabenprofilfensternWenn Sie ein Attribut nicht in der directory.xml-Datei ändern möchten, legen Siedie Anzeigeeigenschaft für das Attribut in den Bildschirmdefinitionen fest, in denendas vertrauliche Attribut angezeigt wird.Mithilfe des Feldtyps können Sie Attribute wie Kennwörter als Reihe von Sternchenanstelle von Klartext anzeigen.Hinweis: Weitere Informationen zum Feldtyp für vertrauliche Attribute finden Sie inden Abschnitten zu Feldtypen in der Benutzerkonsolen-Hilfe.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 71

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteDatenklassifizierungs-AttributeDas Datenklassifizierungs-Element bietet eine Methode für das Zuordnen vonzusätzlichen Eigenschaften zu einer Attributbeschreibung. Die Werte in diesem Elementlegen fest, wie CA IdentityMinder das Attribut verarbeitet. Dieses Element unterstütztdie folgenden Parameter:■■sensitiveHat zur Folge, dass CA IdentityMinder das Attribut als Reihe von Sternchen (*) inden Fenstern "Gesendete Aufgaben anzeigen" anzeigt. Dieser Parameterverhindert, dass alte und neue Werte für das Attribut in den Fenstern "GesendeteAufgaben anzeigen" als Klartext angezeigt werden.Wenn Sie eine Kopie eines vorhandenen Benutzers in der Benutzerkonsoleerstellen, verhindert dieser Parameter außerdem, dass das Attribut zum neuenBenutzer kopiert wird.vst_hideBlendet das Attribut im Fenster "Ereignisdetails" auf der Registerkarte "GesendeteAufgaben anzeigen" aus. Im Gegensatz zu vertraulichen Attributen, die alsSternchen angezeigt werden, werden vst_hidden-Attribute nicht angezeigt.Sie können diesen Parameter verwenden, damit Änderungen an einem Attribut,beispielsweise dem Gehalt, nicht im Fenster "Gesendete Aufgaben anzeigen"angezeigt werden.■ignore_on_copyHat zur Folge, dass CA IdentityMinder ein Attribut ignoriert, wenn ein Administratoreine Kopie eines Objekts in der Benutzerkonsole erstellt. Nehmen Sie zum Beispielan, dass Sie ignore_on_copy für das Kennwortattribut eines Benutzerobjektsangegeben haben. Wenn Sie ein Benutzerprofil kopieren, überträgt CAIdentityMinder das Kennwort des aktuellen Benutzers nicht auf das neueBenutzerprofil.72 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten Objekte■■AttributeLevelEncryptVerschlüsselt Attributwerte, wenn sie im Benutzerspeicher gespeichert werden.Wenn CA IdentityMinder für FIPS 140-2 aktiviert ist, verwendet CA IdentityMinderdie RC2-Verschlüsselung oder die FIPS 140-2-Verschlüsselung.Weitere Informationen zur Unterstützung von FIPS 140-2 in CA IdentityMinderfinden Sie im Konfigurationshandbuch.Die Attribute werden während Laufzeit als Klartext angezeigt.Hinweis: Um zu verhindern, dass Attribute in Fenstern als Klartext angezeigtwerden, können Sie ein Element zu verschlüsselten Attributen hinzufügen, das sieals vertrauliche Daten klassifiziert. Weitere Informationen finden Sie unterHinzufügen von Verschlüsselung auf Attributebene (siehe Seite 75).PreviouslyEncryptedHat zur Folge, dass CA IdentityMinder alle verschlüsselte Werte im Attribut erkenntund entschlüsselt, wenn das Objekt im Benutzerspeicher aufgerufen wird.Mithilfe dieser Datenklassifizierung können Sie alle zuvor verschlüsselten Werteentschlüsseln.Der Klartextwert wird im Speicher gespeichert, wenn Sie das Objekt speichern.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 73

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteKonfigurieren von Datenklassifizierungs-AttributenGehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei nach dem Attribut.2. Fügen Sie das folgende Attribut nach der Attributbeschreibung hinzu:parameterStellt einen der folgenden Parameter dar:sensitivevst_hideignore_on_copyAttributeLevelEncryptPreviouslyEncryptedEine Attributbeschreibung, die das Datenklassifizierungs-Attribut "vst_hide"enthält, entspricht zum Beispiel in etwa dem folgenden Code:Verschlüsselung auf AttributebeneSie können ein Attribut im Benutzerspeicher verschlüsseln, indem Sie eineAttributeLevelEncypt-Datenklassifizierung für dieses Attribut in derVerzeichniskonfigurationsdatei (directory.xml) angeben. Wenn die Verschlüsselung aufAttributebene aktiviert ist, verschlüsselt CA IdentityMinder den Wert dieses Attributs,bevor es im Benutzerspeicher gespeichert wird. Das Attribut wird in derBenutzerkonsole als Klartext angezeigt.Hinweis: Um zu verhindern, dass Attribute in Fenstern als Klartext angezeigt werden,können Sie ein Element zu verschlüsselten Attributen hinzufügen, das sie alsvertrauliche Daten klassifiziert. Weitere Informationen finden Sie unter Hinzufügen vonVerschlüsselung auf Attributebene (siehe Seite 75).Wenn die FIPS 140-2-Unterstützung aktiviert ist, wird das Attribut mithilfe derRC2-Verschlüsselung oder FIPS 140-2-Verschlüsselung verschlüsselt.74 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteBeachten Sie Folgendes, bevor Sie die Verschlüsselung auf Attributebeneimplementieren:■■■■CA IdentityMinder kann bei einer Suche keine verschlüsselten Attribute finden.Nehmen Sie an, dass ein verschlüsseltes Attribut einer Mitglieds-, Admin- oderEigentümerrichtlinie bzw. einer Identitätsrichtlinie hinzugefügt wird. CAIdentityMinder kann die Richtlinie nicht richtig auflösen, weil eine Suche nach demAttribut nicht möglich ist.Ziehen Sie in Erwägung, das Attribut in der directory.xml-Datei aufsearchable="false" festzulegen, zum Beispiel:Wenn CA IdentityMinder einen gemeinsamen Benutzerspeicher und eingemeinsames Bereitstellungsverzeichnis verwendet, verschlüsseln Sie nicht dieBereitstellungsserver-Attribute.Aktivieren Sie AttributeLevelEncrypt nicht für Benutzerkennwörter in Umgebungen,die den folgenden Kriterien entsprechen:– Umfassen eine CA SiteMinder-Integration und– Speichern Benutzer in einer relationalen DatenbankWenn CA IdentityMinder mit CA SiteMinder integriert wird, führen verschlüsselteKennwörter zu Problemen, wenn neue Benutzer versuchen, sich anzumelden, undKennwörter als Klartext eingeben.Wenn Sie die Verschlüsselung auf Attributebene für einen Benutzerspeicheraktivieren, der von anderen Anwendungen als CA IdentityMinder verwendet wird,können die anderen Anwendungen das verschlüsselte Attribut nicht verwenden.Hinzufügen von Verschlüsselung auf AttributebeneNehmen Sie an, dass Sie eine Verschlüsselung auf Attributebene für ein CAIdentityMinder-Verzeichnis hinzugefügt haben. CA IdentityMinder verschlüsseltautomatisch vorhandene Klartext-Attributwerte, wenn Sie das Objekt speichern, dasdem Attribut zugeordnet ist. Wenn Sie zum Beispiel das Kennwortattribut verschlüsseln,wird beim Speichern des Benutzerprofils das Kennwort verschlüsselt.Hinweis: Um den Attributwert zu verschlüsseln, muss die Aufgabe, die Sie zumSpeichern des Objekts verwenden, das Attribut einschließen. Um das Kennwortattributim vorherigen Beispiel zu verschlüsseln, vergewissern Sie sich, dass das Kennwortfeldder Aufgabe hinzugefügt wird, die Sie zum Speichern des Objekts verwenden, zumBeispiel die Aufgabe "Benutzer ändern".Alle neuen Objekte werden mit verschlüsselten Werten im Benutzerspeicher erstellt.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 75

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteGehen Sie wie folgt vor:1. Führen Sie eine der folgenden Aufgaben aus:■■Erstellen Sie ein CA IdentityMinder-Verzeichnis.Aktualisieren Sie ein vorhandenes Verzeichnis, indem Sie dieVerzeichniseinstellungen exportieren.2. Fügen Sie dem Attribut, das Sie in der directory.xml-Datei verschlüsseln möchten,die folgenden Datenklassifizierungs-Attribute hinzu:AttributeLevelEncryptBehalten Sie den Attributwert im Benutzerspeicher in verschlüsselter Form bei.sensitive (optional)Blendet den Attributwert in CA IdentityMinder-Fenstern aus. Ein Kennwortwird zum Beispiel als Reihe von Sternchen (*) angezeigt.Beispiel:3. Wenn Sie ein CA IdentityMinder-Verzeichnis erstellt haben, ordnen Sie dasVerzeichnis einer Umgebung zu.4. Um zu erzwingen, dass CA IdentityMinder alle Werte sofort verschlüsselt, ändernSie alle Objekte mithilfe des Massendatenladers.Entfernen der Verschlüsselung auf AttributebeneHinweis: Weitere Informationen zum Massendatenlader finden Sie imAdministrationshandbuch.Wenn im CA IdentityMinder-Verzeichnis ein verschlüsseltes Attribut enthalten ist,dessen Wert als Klartext gespeichert ist, können Sie dieAttributeLevelEncrypt-Datenklassifizierung entfernen.Nachdem die Datenklassifizierung entfernt worden ist, werden die neuen Attributwertein CA IdentityMinder nicht mehr verschlüsselt. Vorhandene Werte werden entschlüsselt,wenn Sie das Objekt speichern, das dem Attribut zugeordnet wird.Hinweis: Um den Attributwert zu entschlüsseln, muss die Aufgabe, die Sie zumSpeichern des Objekts verwenden, das Attribut einschließen. Um zum Beispiel einKennwort für einen vorhandenen Benutzer zu entschlüsseln, speichern Sie dasBenutzerobjekt mit einer Aufgabe, die das Kennwortfeld enthält, beispielsweise dieAufgabe "Benutzer ändern".76 Konfigurationshandbuch

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteUm zu erzwingen, dass CA IdentityMinder alle verschlüsselten Werte erkennt undentschlüsselt, die für das Attribut im Benutzerspeicher verbleiben, können Sie eineandere Datenklassifizierung, PreviouslyEncrypted, angeben. Der Klartextwert wird imBenutzerspeicher gespeichert, wenn Sie das Objekt speichern.Hinweis: Durch die Datenklassifizierung "PreviouslyEncrypted" wird bei jedem Ladendes Objekts der Verarbeitungsaufwand erhöht. Um Leistungsbeeinträchtigungen zuverhindern, können Sie die Datenklassifizierung "PreviouslyEncrypted" hinzufügen, jedesObjekt, dem dieses Attribut zugeordnet ist, laden und speichern und anschließend dieDatenklassifizierung wieder entfernen. Mit dieser Methode werden alle gespeichertenverschlüsselten Werte automatisch in gespeicherten Klartext konvertiert.Gehen Sie wie folgt vor:1. Exportieren Sie die Verzeichniseinstellungen für das entsprechende CAIdentityMinder-Verzeichnis.2. Entfernen Sie in der directory.xml-Datei die Datenklassifizierung"AttributeLevelEncrypt" für Attribute, die Sie entschlüsseln möchten.3. Wenn Sie erzwingen möchten, dass CA IdentityMinder zuvor verschlüsselte Werteentfernt, fügen Sie das Datenklassifizierungs-Attribut "PreviouslyEncrypted" hinzu.Beispiel:4. Um zu erzwingen, dass CA IdentityMinder alle Werte sofort entschlüsselt, ändernSie alle Objekte mithilfe des Massendatenladers.Hinweis: Weitere Informationen zum Massendatenlader finden Sie imAdministrationshandbuch.CA Directory - ÜberlegungenWenn Sie Attribute für einen CA Directory-Benutzerspeicher beschreiben, müssen Siedie folgenden Punkte beachten:■■Bei Attributnamen wird die Groß-/Kleinschreibung berücksichtigt.Die Verwendung des "seeAlso"-Attributs als das Attribut, welches eineselbstabonnierende Gruppe angibt, kann zu Fehlern führen, wenn AdministratorenGruppen erstellen.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 77

Beschreibungen der über Benutzer, Gruppe und Organisation verwalteten ObjekteDie Verwendung des Foto-Attributs als das Attribut, welches den Status einesBenutzerkontos (aktiviert oder deaktiviert) angibt, kann zu Fehlern führen, wenn einAdministrator einen Benutzer erstellt.Hinweis: Zusatzinformationen über CA-Directory-Anforderungen können Sie derCA-Directory-Dokumentation entnehmen.Microsoft Active Directory-ÜberlegungenWenn Sie Attribute für Active Directory beschreiben, beachten Sie die folgendenPunkte:■■Der Fall der in den Attributbeschreibungen spezifizierten Attribute muss mit demFall der Attribute unter Active Directory übereinstimmen. Wenn Sie zum Beispieldas unicodePwd-Attribut als das Attribut zum Speichern von Benutzerkennwörternauswählen, geben Sie "unicodePwd" (mit großem P) in derVerzeichniskonfigurationsdatei an.Vergewissern Sie sich bei Benutzer- und Gruppenobjekten, dass Sie dassAMAccountName-Attribut einschließen.IBM-Verzeichnisserver-ÜberlegungenWenn Sie Attribute für ein Benutzerverzeichnis des IBM-Verzeichnisservers beschreiben,müssen Sie die folgenden Abschnitte ansehen:■ Gruppen in Verzeichnisserver-Verzeichnissen (siehe Seite 78)■ Die Objektklasse "Top" in der Organisationsobjekt-Beschreibung (siehe Seite 79)Gruppen in Verzeichnisserver-VerzeichnissenKonfigurieren Sie einen Dummy-Benutzer.Der IBM-Verzeichnisserver verlangt, dass Gruppen mindestens ein Mitglied enthalten.Um dieser Anforderung zu entsprechen, fügt CA IdentityMinder einen Dummy-Benutzerals Mitglied einer neuen Gruppe hinzu, wenn die Gruppe erstellt wird.Gehen Sie wie folgt vor:1. Machen Sie im Abschnitt "Gruppenobjekt" der Verzeichniskonfigurationsdatei diefolgenden Elemente ausfindig:##DUMMY_USER_DNHinweis: Wenn diese Elemente in der Verzeichniskonfigurationsdatei nichtvorhanden sind, fügen Sie sie genau so hinzu, wie sie hier angezeigt werden.78 Konfigurationshandbuch

Bekannte Attribute für einen LDAP-Benutzerspeicher2. Ersetzen Sie ##DUMMY_USER_DN durch ein Benutzer-DN. CA IdentityMinder fügtdieses DN als Mitglied aller neuen Gruppen hinzu.Hinweis: Wenn Sie das DN eines vorhandenen Benutzers angeben, wird dieserBenutzer als Mitglied aller Gruppen von CA IdentityMinder angezeigt. Um zuverhindern, dass der Dummy-Benutzer als ein Gruppenmitglied angezeigt wird,geben Sie ein DN an, das nicht im Verzeichnis vorhanden ist.3. Speichern Sie die Verzeichniskonfigurationsdatei.Die Objektklasse "Top" in der Organisationsobjekt-BeschreibungWichtig! Schließen Sie in der Beschreibung des Organisationsobjekts in derVerzeichniskonfigurationsdatei die Objektklasse "Top" nicht ein.Wenn zum Beispiel die Objektklasse des Organisationsobjekts "Top","organizationalUnit", lautet, geben Sie die Objektklasse folgendermaßen an:Das Einbinden von "Top" kann zu unvorhergesehenen Suchergebnissen führen.Oracle Internet Directory-ÜberlegungenWenn Sie Attribute für den Benutzerspeicher eines Oracle Internet Directory (OID)beschreiben, geben Sie LDAP-Attribute ausschließlich mithilfe kleingeschriebenerBuchstaben an.Bekannte Attribute für einen LDAP-BenutzerspeicherBekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder. Sie werdenwie in der folgenden Syntax angezeigt identifiziert:%ATTRIBUTENAME%In dieser Syntax muss ATTRIBUTENAME großgeschrieben werden.Ein bekanntes Attribut wird einem physischem Attribut mithilfe einerAttributbeschreibung (siehe Seite 123) zugeordnet.In der folgenden Attributbeschreibung wird das Benutzerkennwort des Attributs dembekannten Attribut %PASSWORD% zugeordnet, sodass CA IdentityMinder den Wertunter "userpassword" wie folgt als Kennwort betrachtet:Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 79

Bekannte Attribute für einen LDAP-BenutzerspeicherBestimmte bekannte Attribute sind erforderlich, andere sind optional.Bekannte Attribute für BenutzerEine Liste Benutzern bekannter Attribute und die Elemente, denen sie zugeordnetwerden, ist im Folgenden ersichtlich:%ADMIN_ROLE_CONSTRAINT%Führt Zuordnungen zur Liste von Admin-Rollen eines Administrators durch.Das physische Attribut, das zu %ADMIN_ROLE_CONSTRAINT% zuordnet, mussmehrwertig sein, um mehrere Rollen aufzunehmen.Es wird empfohlen, das LDAP-Attribut zu indizieren, welches zu%ADMIN_ROLE_CONSTRAINT% zugeordnet wird.%CERTIFICATION_STATUS%Führt Zuordnungen zum Zertifizierungsstatus eines Benutzers durch.Dieses Attribut ist erforderlich, um die Funktion der Benutzerzertifizierung zuverwenden.Hinweis: Weitere Informationen zur Benutzerzertifizierung finden Sie imAdministrationshandbuch.%DELEGATORS%Wird einer Liste mit Benutzern zugeordnet, die Arbeitselemente an den aktuellenBenutzer delegiert haben.Dieses Attribut ist für die Verwendung der Delegierung erforderlich. Das physischeAttribut, das %DELEGATORS% zugeordnet ist, muss mehrere Werte umfassen, undes muss Zeichenfolgen enthalten können.Wichtig! Eine direkte Bearbeitung dieses Felds mit CA IdentityMinder-Aufgabenoder einem externen Tool hat beträchtliche Auswirkungen auf die Sicherheit.%EMAIL%Führt Zuordnungen zur E-Mail-Adresse eines Benutzers durch.Macht es erforderlich, die Funktion der E-Mail-Benachrichtigung zu verwenden.80 Konfigurationshandbuch

Bekannte Attribute für einen LDAP-Benutzerspeicher%ENABLED_STATE%(Erforderlich)Führt Zuordnungen zum Status eines Benutzers durch.Hinweis: Dieses Attribut muss mit dem Attribut des Benutzerverzeichnisses mitdeaktiviertem Kennzeichen in der SiteMinder-Benutzerverzeichnisverbindungübereinstimmen.%FIRST_NAME%Führt Zuordnungen zum Vornamen eines Benutzers durch.%FULL_NAME%Führt Zuordnungen zum Vor- und zum Nachnamen eines Benutzers durch.%IDENTITY_POLICY%Gibt die Liste von Identitätsrichtlinien an, die auf ein Benutzerkonto angewendetwerden, sowie eine Liste von eindeutigen Policy-Xpress-Richtlinien-IDs, die für dasBenutzerobjekt Aktionen zum Hinzufügen oder zum Entfernen durchgeführt haben.CA IdentityMinder verwendet dieses Attribut, um festzulegen, ob die Anwendungeiner Identitätsrichtlinie auf einen Benutzer erforderlich ist oder nicht. Es sei davonauszugehen, dass für die Richtlinie die Einstellung der einmaligen Anwendungaktiviert ist und dass die Richtlinie im Attribut %IDENTITY_POLICY% aufgelistet ist.CA IdentityMinder wendet die Änderungen in der Richtlinie nicht auf den Benutzeran.Hinweis: Weitere Informationen zu Identitätsrichtlinien finden Sie imAdministrationshandbuch.%LAST_CERTIFIED_DATE%Führt Zuordnungen zu dem Datum durch, an dem die Rollen für einen Benutzerzertifiziert werden.Die Verwendung der Benutzerzertifizierungsfunktion ist erforderlich.Hinweis: Weitere Informationen zur Benutzerzertifizierung finden Sie imAdministrationshandbuch.%LAST_NAME%Führt Zuordnungen zum Nachnamen eines Benutzers durch.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 81

Bekannte Attribute für einen LDAP-Benutzerspeicher%MEMBER_OF%Führt Zuordnungen zur Liste der Gruppen durch, bei denen der Benutzer einMitglied ist.Das physische Attribut, das zu %MEMBER_OF% zuordnet, muss mehrwertig sein,um mehrere Gruppen aufzunehmen.Die Verwendung dieses Attributs verbessert die Antwortzeit, wenn die Gruppeneines Benutzers gesucht werden.Sie können dieses Attribut mit Active Directory oder einem Verzeichnisschemaverwenden, das die Gruppenmitgliedschaft eines Benutzers im Benutzerobjektverwaltet.%ORG_MEMBERSHIP%(Erforderlich)Führt Zuordnungen zu dem DN jener Organisation durch, zu der der Benutzergehört.CA IdentityMinder verwendet dieses bekannte Attribut, um die Struktur einesVerzeichnisses (siehe Seite 87) zu bestimmen.Dieses Attribut wird nicht benötigt, wenn das Benutzerverzeichnis keineOrganisationen einschließt.%ORG_MEMBERSHIP_NAME%(Erforderlich)Führt Zuordnungen zum benutzerfreundlichen Namen der Organisation durch, inder das Profil des Benutzers vorhanden ist.Dieses Attribut wird nicht benötigt, wenn das Benutzerverzeichnis keineOrganisationen einschließt.%PASSWORD%Führt Zuordnungen zum Kennwort eines Benutzers durch.Dieses Attribut muss mit dem Kennwortattribut in derSiteMinder-Benutzerverzeichnisverbindung übereinstimmen.Hinweis: Der Wert des Attributs %PASSWORD% wird in den CAIdentityMinder-Fenstern immer als eine Folge von Sternchen (*) angezeigt, sogarwenn für das Attribut oder Feld nicht festgelegt wurde, dass Kennwörter verborgenwerden sollen.82 Konfigurationshandbuch

Bekannte Attribute für einen LDAP-Benutzerspeicher%PASSWORD_DATA%(Für die Unterstützung von Kennwortrichtlinien erforderlich.)Gibt das Attribut an, das Kennwortrichtlinieninformationen verfolgt.Hinweis: Der Wert des Attributs %PASSWORD_DATA% wird in den CAIdentityMinder-Fenstern immer als eine Folge von Sternchen (*) angezeigt, sogarwenn für das Attribut oder Feld nicht festgelegt wurde, dass Kennwörter verborgenwerden sollen.%PASSWORD_HINT%(Erforderlich)Führt Zuordnungen zu einem benutzerspezifischen Frage- und Antwortpaar durch.Das Frage- und Antwortpaar wird verwendet, wenn Benutzer ihre Kennwörtervergessen.Um mehrere Frage- und Antwortpaare zu unterstützen, müssen Sie sicherstellen,dass das %PASSWORD_HINT%-Attribut mehrwertig ist.Wenn Sie die Funktion der Kennwortdienste von SiteMinder verwenden, umKennwörter zu verwalten, muss das Kennworthinweis-Attribut mit dem"Challenge/Response"-Attribut im SiteMinder-Benutzerverzeichnisübereinstimmen.Hinweis: Der Wert des Attributs %PASSWORD% wird in den CAIdentityMinder-Fenstern immer als eine Folge von Sternchen (*) angezeigt, sogarwenn für das Attribut oder Feld nicht festgelegt wurde, dass Kennwörter verborgenwerden sollen.%USER_ID%(Erforderlich)Führt Zuordnungen zur ID eines Benutzers durch.Bekannte Attribute für GruppenDie folgenden Elemente stellen die Liste der Gruppe der bekannten Attribute dar:%GROUP_ADMIN_GROUP%Zeigt an, welches Attribut eine Liste von Gruppen speichert, die wiederum alsAdministratoren einer Gruppe fungieren können. Wenn zum Beispiel die Gruppe 1ein Administrator der Gruppe A ist, wird Gruppe 1 im%GROUP_ADMIN_GROUP%-Attribut gespeichert.Hinweis: Wenn Sie kein %GROUP_ADMIN_GROUP%-Attribut angeben, speichert CAIdentityMinder die Administratorgruppen im %GROUP_ADMIN%-Attribut.Hinweis: Um eine Gruppe als Administrator einer anderen Gruppe hinzuzufügen,lesen Sie die entsprechenden Abschnitte im Administrationshandbuch.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 83

Bekannte Attribute für einen LDAP-Benutzerspeicher%GROUP_ADMIN%Zeigt an, welches Attribut die DNs der Administratoren einer Gruppe enthält.Das physische Attribut, das zu %GROUP_ADMIN% zugeordnet ist, muss mehrwertigsein.%GROUP_DESC%Zeigt an, welches Attribut die Beschreibung einer Gruppe enthält.%GROUP_MEMBERSHIP%(Erforderlich)Zeigt an, welches Attribut eine Liste der Mitglieder einer Gruppe enthält.Das physische Attribut, das zu %GROUP_MEMBERSHIP% zugeordnet ist, mussmehrwertig sein.Das bekannte %GROUP_MEMBERSHIP%-Attribut ist nicht fürProvisioning-Benutzer-Verzeichnisse erforderlich.%GROUP_NAME%(Erforderlich)Zeigt an, welches Attribut einen Gruppennamen speichert.%ORG_MEMBERSHIP%(Erforderlich)Zeigt an, welches Attribut das DN der Organisation enthält, zu der die Gruppegehört.CA IdentityMinder verwendet dieses bekannte Attribut, um die Struktur desVerzeichnisses (siehe Seite 87) zu bestimmen.Dieses Attribut wird nicht benötigt, wenn das Benutzerverzeichnis keineOrganisationen einschließt.%ORG_MEMBERSHIP_NAME%Zeigt an, welches Attribut den benutzerfreundlichen Namen der Organisationenthält, in der die Gruppe vorhanden ist.Dieses Attribut ist nicht für Benutzerverzeichnisse gültig, die keine Organisationeneinschließen.%SELF_SUBSCRIBING%Zeigt an, welches Attribut entscheidet, ob Benutzer sich einer Gruppe (sieheSeite 86) anschließen können.84 Konfigurationshandbuch

Bekannte Attribute für einen LDAP-Benutzerspeicher%NESTED_GROUP_MEMBERSHIP%Zeigt an, welches Attribut eine Liste von Gruppen speichert, die wiederum alsMitglieder einer Gruppe fungieren können. Wenn zum Beispiel die Gruppe 1 einMitglied der Gruppe A ist, wird Gruppe 1 im%NESTED_GROUP_MEMBERSHIP%-Attribut gespeichert.Wenn Sie kein %NESTED_GROUP_MEMBERSHIP%-Attribut angeben, speichert CAIdentityMinder verschachtelte Gruppen im %GROUP_MEMBERSHIP%-Attribut.Um Gruppen als Mitglieder anderer Gruppen einzubinden, konfigurieren Sie denSupport für verschachtelte Gruppen, wie in den Anweisungen zum Konfigurierenvon dynamischen und verschachtelten Gruppen beschrieben.%DYNAMIC_GROUP_MEMBERSHIP%Zeigt an, welches Attribut die LDAP-Abfrage speichert, die eine dynamische Gruppe(siehe Seite 149) generiert.Hinweis: Um die verfügbaren Attribute für das Gruppenobjekt zu erweitern, damit die%NESTED_GROUP_MEMBERSHIP%- und %DYNAMIC_GROUP_MEMBERSHIP%-Attributeeingebunden werden können, können Sie Hilfsobjektklassen verwenden.Bekannte Attribute zur OrganisationDie folgenden bekannten Attribute gelten ausschließlich für Umgebungen, dieOrganisationen unterstützen:%ORG_DESCR%Zeigt an, welches Attribut die Beschreibung einer Organisation enthält.%ORG_MEMBERSHIP%(Erforderlich)Zeigt an, welches Attribut das DN der übergeordneten Organisation einerOrganisation enthält.%ORG_MEMBERSHIP_NAME%Gibt an, welches Attribut den benutzerfreundlichen Namen der übergeordnetenOrganisation einer Organisation enthält.%ORG_NAME%(Erforderlich)Gibt an, welches Attribut den Namen der Organisation enthält.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 85

Bekannte Attribute für einen LDAP-BenutzerspeicherAttribut %ADMIN_ROLE_CONSTRAINT%Wenn Sie eine Admin-Rolle erstellen, geben Sie eine oder mehrere Regeln für dieRollenmitgliedschaft an. Die Rolle wird dann allen Benutzern erteilt, die dieMitgliedschaftsregeln erfüllen. Wenn zum Beispiel die Mitgliedschaftsregel für die Rolle"User Manager" "title=User Manager" lautet, wird Benutzern mit dem Titel "UserManager" die Rolle "User Manager" erteilt.Hinweis: Weitere Informationen zu Regeln finden Sie im Administrationshandbuch.%ADMIN_ROLE_CONSTRAINT% ermöglicht es Ihnen, ein Profilattribut anzugeben, indem die Admin-Rollen eines Administrators gespeichert werden.So verwenden Sie das Attribut %ADMIN_ROLE_CONSTRAINT%Um %ADMIN_ROLE_CONSTRAINT% als Einschränkung für alle Admin-Rollen zuverwenden, führen Sie die folgenden Aufgaben aus:■Ordnen Sie das bekannte Attribut %ADMIN_ROLE_CONSTRAINT% einemmehrwertigen Profilattribut zu, um mehrere Rollen zu berücksichtigen.■Wenn Sie eine Admin-Rolle in der Benutzerkonsole konfigurieren, vergewissern Siesich über die folgende Einschränkung:Die Admin-Rollen stimmen mit dem Rollennamen überein.role nameDefiniert den Namen der Rolle, für die Sie die Einschränkung angeben, wie imfolgenden Beispiel gezeigt:"Admin-Rollen" stimmt mit "User Manager" überein.Hinweis: "Admin-Rollen" ist der Standardanzeigename für das Attribut%ADMIN_ROLE_CONSTRAINT%.Konfigurieren von bekannten AttributenFühren Sie zum Konfigurieren bekannter Attribute die folgenden Schritte aus.Gehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei nach dem folgenden Zeichen:##2. Ersetzen Sie den mit ## beginnenden Wert durch das entsprechende LDAP-Attribut.3. Wiederholen Sie die Schritte 1 und 2, bis Sie alle erforderlichen Werte ersetzthaben.86 Konfigurationshandbuch

Beschreiben der Benutzerverzeichnisstruktur4. Ordnen Sie optional die bekannten Attribute physischen Attributen zu, sofernerforderlich.5. Speichern Sie die Verzeichniskonfigurationsdatei.Beschreiben der BenutzerverzeichnisstrukturCA IdentityMinder verwendet das bekannte Attribut %ORG_MEMBERSHIP%, um dieStruktur eines Benutzerverzeichnisses zu bestimmen.Das Verfahren zum Beschreiben der Benutzerverzeichnisstruktur hängt vom Typ derVerzeichnisstruktur ab.So beschreiben Sie eine hierarchische VerzeichnisstrukturDie Verzeichniskonfigurationsdatei für eine hierarchische Verzeichnisstruktur ist bereitskonfiguriert. Dadurch müssen Sie die Beschreibung des Attributs %ORG_MEMBERSHIP%nicht ändern.So beschreiben Sie eine flache BenutzerverzeichnisstrukturGehen Sie wie folgt vor:1. Suchen Sie die Beschreibung des Attributs %ORG_MEMBERSHIP% im Abschnitt fürBenutzerobjekte der Datei "directory.xml".2. Ersetzen Sie im Parameter "physicalname" das Attribut %ORG_MEMBERSHIP%durch den Namen des Attributs, in dem die Organisation des Benutzers gespeichertist.So beschreiben Sie eine flache VerzeichnisstrukturGehen Sie wie folgt vor:1. Suchen Sie die Beschreibung des Attributs %ORG_MEMBERSHIP% im Abschnitt fürBenutzerobjekte der Datei "directory.xml".2. Ersetzen Sie im Parameter "physicalname" das Attribut %ORG_MEMBERSHIP%durch den Namen des Attributs, in dem die Organisation des Benutzers gespeichertist.3. Wiederholen Sie Schritt 1 im Abschnitt für Gruppenobjekte.4. Ersetzen Sie im Parameter "physicalname" das Attribut %ORG_MEMBERSHIP%durch den Namen des Attributs, in dem die Organisation der Gruppe gespeichertist.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 87

So konfigurieren Sie GruppenSo beschreiben Sie ein Benutzerverzeichnis, das keine Organisationen unterstütztVergewissern Sie sich, dass keine Objektbeschreibungen oder bekannten Attribute fürOrganisationen in der Datei "directory.xml" definiert sind.So konfigurieren Sie GruppenFür die Konfiguration lassen sich Gruppen folgendermaßen aufteilen:■■Selbstabonnierende GruppenDynamische und verschachtelte GruppenKonfigurieren von selbstabonnierenden GruppenUm Self-Service-Benutzern den Beitritt zu Gruppen zu ermöglichen, können Sie in derVerzeichniskonfigurationsdatei die Unterstützung selbstabonnierender Gruppenkonfigurieren.Wenn sich ein Benutzer anmeldet, sucht CA IdentityMinder nach Gruppen in denangegebenen Organisationen und zeigt dem Benutzer die selbstabonnierenden Gruppenan.Gehen Sie wie folgt vor:1. Fügen Sie im Abschnitt für selbstabonnierende Gruppen das Element"SelfSubscribingGroups" wie folgt hinzu:2. Fügen Sie Werte für die folgenden Parameter hinzu:typeGibt wie folgt an, wo CA IdentityMinder nach selbstabonnierenden Gruppensucht:■NONE - CA IdentityMinder sucht nicht nach Gruppen. Geben Sie NONE an,wenn Sie verhindern möchten, dass Benutzer selbst Gruppen abonnieren.■ALL - CA IdentityMinder beginnt mit der Suche nach Gruppen imStammverzeichnis. Geben Sie ALL an, wenn Benutzer im gesamtenhierarchischen Verzeichnis Gruppen abonnieren können.88 Konfigurationshandbuch

So konfigurieren Sie Gruppen■■INDICATEDORG - CA IdentityMinder sucht nach selbstabonnierendenGruppen in der Organisation eines Benutzers und den zugehörigenUnterorganisationen. Wenn zum Beispiel das Profil eines Benutzers derMarketingorganisation angehört, sucht CA IdentityMinder nachselbstabonnierenden Gruppen in der Marketingorganisation und in allenUnterorganisationen.SPECIFICORG - CA IdentityMinder sucht in einer bestimmten Organisation.Geben Sie den definierten Namen (DN) der jeweiligen Organisation imParameter "org" an.orgGibt die eindeutige Kennung der Organisation an, in der CA IdentityMindernach selbstabonnierenden Gruppen sucht.Hinweis: Stellen Sie sicher, dass Sie den Parameter "org" angeben, wenn"type=SPECIFICORG" festgelegt ist.Nachdem Sie die Unterstützung für selbstabonnierende Gruppen im CAIdentityMinder-Verzeichnis konfiguriert haben, können CAIdentityMinder-Administratoren angeben, welche Gruppen in der Benutzerkonsoleselbstabonnierend sind.Hinweis: Weitere Informationen zur Verwaltung von Gruppen finden Sie imAdministrationshandbuch.Konfigurieren von dynamischen und verschachtelten GruppenWenn Sie einen LDAP-Benutzerspeicher verwalten, können Sie Unterstützung für diefolgenden Typen von Gruppen in der Verzeichniskonfigurationsdatei konfigurieren:Dynamische GruppenErmöglicht Ihnen die Definition von Gruppenmitgliedschaften, indem Sie in derBenutzerkonsole eine LDAP-Filterabfrage dynamisch angeben. Bei Verwendung vondynamischen Gruppen müssen Administratoren nicht einzeln nachGruppenmitgliedern suchen und diese hinzufügen.Verschachtelte GruppenErmöglicht es Ihnen, Gruppen als Mitglieder anderer Gruppen hinzuzufügen.Sie können dynamische und verschachtelte Gruppen mithilfe derVerzeichniskonfigurationsdatei aktivieren.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 89

So konfigurieren Sie GruppenGehen Sie wie folgt vor:1. Ordnen Sie nach Bedarf die folgenden bekannten Attribute (siehe Seite 83)physischen Attributen für das verwaltete Objekt "Gruppe" zu:■■%DYNAMIC_GROUP_MEMBERSHIP%%NESTED_GROUP_MEMBERSHIP%Hinweis: Das ausgewählte physische Attribut muss mehrere Werte unterstützen.2. Fügen Sie im Abschnitt für das Verzeichnisgruppenverhalten das folgendeGroupTypes-Element hinzu:3. Geben Sie einen Wert für den folgenden Parameter ein:groupAktiviert die Unterstützung für dynamische und verschachtelte Gruppen. Diefolgenden Werte sind gültig:■■■■NONE - CA IdentityMinder unterstützt keine dynamischen undverschachtelten Gruppen.ALL - CA IdentityMinder unterstützt dynamische und verschachtelteGruppen.DYNAMIC - CA IdentityMinder unterstützt nur dynamische Gruppen.NESTED - CA IdentityMinder unterstützt nur verschachtelte Gruppen.Nachdem Sie die Unterstützung für dynamische und verschachtelte Gruppen im CAIdentityMinder-Verzeichnis konfiguriert haben, können CAIdentityMinder-Administratoren angeben, welche Gruppen in der Benutzerkonsoledynamisch und welche verschachtelt sind.Hinweis: Beachten Sie, dass Sie den Gruppentyp auf NESTED oder ALL festgelegt haben,ohne den bekannten Parameter %NESTED_GROUP_MEMBERSHIP% festzulegen. Indiesem Fall speichert CA IdentityMinder sowohl die verschachtelten Gruppen als auchdie Benutzer in dem bekannten Parameter %GROUP_MEMBERSHIP%. Die Verarbeitungvon Gruppenmitgliedschaften kann geringfügig langsamer sein.90 Konfigurationshandbuch

ValidierungsregelnHinzufügen von Unterstützung für Gruppen als GruppenadministratorBei Verwaltung eines LDAP-Benutzerspeichers können Sie festlegen, dass Gruppen alsAdministratoren anderer Gruppen fungieren können. Wenn Sie eine Gruppe alsAdministrator zuweisen, sind nur die Administratoren dieser Gruppe Administratorender anderen angegebenen Gruppe. Die Mitglieder der angegebenenAdministratorgruppe sind nicht berechtigt, die Gruppe zu verwalten.Gehen Sie wie folgt vor:1. Ordnen Sie das bekannte Attribut %GROUP_ADMIN_GROUP% einem physischenAttribut zu, in dem die Liste der Gruppen gespeichert ist, die als Administratorendienen.Hinweis: Das ausgewählte physische Attribut muss mehrere Werte unterstützen.Unter Gruppieren bekannter Attribute (siehe Seite 83) finden Sie weitereInformationen über das Attribut %GROUP_ADMIN_GROUP%.Hinweis: Wenn Sie als Typ der Admin-Gruppe ALL festlegen, ohne das bekannteAttribut %GROUP_ADMIN_GROUP% festzulegen, speichert CA IdentityMinder dieAdministratorgruppen im Attribut %GROUP_ADMIN%.2. Konfigurieren Sie im Abschnitt für das Verhalten vonVerzeichnisadministratorgruppen das AdminGroupTypes-Element wie folgt:Hinweis: Die Standardeinstellung von "AdminGroupTypes" ist NONE.Nachdem Sie die Unterstützung von Gruppen als Administratoren im CAIdentityMinder-Verzeichnis konfiguriert haben, können CAIdentityMinder-Administratoren in der Benutzerkonsole Gruppen als Administratorenvon anderen Gruppen angeben.ValidierungsregelnEine Validierungsregel setzt Anforderungen an Daten durch, die ein Benutzer in ein Felddes Aufgabenfensters eingibt. Die Anforderungen können festlegen, dass einbestimmter Datentyp oder ein bestimmtes Format zu verwenden ist. Vergewissern Siesich daher, ob die Daten im Kontext der anderen Daten im Aufgabenfenster gültig sind.Validierungsregeln sind Profilattributen zugeordnet. CA IdentityMinder stellt sicher, dassdie für ein Profilattribut eingegebenen Daten alle zugehörigen Validierungsregelnerfüllen, bevor eine Aufgabe verarbeitet wird.Sie können Validierungsregeln definieren und sie Profilattributen in derVerzeichniskonfigurationsdatei zuordnen.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 91

Zusätzliche Eigenschaften des CA IdentityMinder-VerzeichnissesZusätzliche Eigenschaften des CAIdentityMinder-VerzeichnissesSie können die folgenden zusätzlichen Eigenschaften konfigurieren:■■■Sortierreihenfolge der Suchergebnisse.Suche über mehrere Objektklassen, um zu überprüfen, dass ein neuer Benutzernicht bereits vorhanden ist.Wartezeit, um zu verhindern, dass CA IdentityMinder vor Abschluss derDatenreplikation vom Master-LDAP-Verzeichnis zum Slave-LDAP-Verzeichnis dasZeitlimit überschreitet.Konfigurieren der SortierreihenfolgeSie können ein Sortierungsattribut für jedes verwaltete Objekt angeben, z. B. fürBenutzer, Gruppen oder Organisationen. CA IdentityMinder verwendet dieses Attributzum Sortieren der Suchergebnisse in benutzerdefinierter Business Logic, die Sie mit denCA IdentityMinder-APIs erstellen.Hinweis: Das Sortierungsattribut wirkt sich nicht auf die Darstellung der Suchergebnissein der Benutzerkonsole aus.Wenn Sie zum Beispiel das cn-Attribut für das Benutzerobjekt angeben, sortiert CAIdentityMinder die Ergebnisse einer Suche nach Benutzern alphabetisch nach demcn-Attribut.Gehen Sie wie folgt vor:1. Fügen Sie nach dem letzten IMSManagedObjectAttr-Element im Abschnitt für dasverwaltete Objekt, auf das sich die Sortierreihenfolge bezieht, die folgendenAnweisungen hinzu:your_sort_attribute2. Ersetzen Sie your_sort_attribute durch das Attribut, nach dem CA IdentityMinderdie Suchergebnisse sortieren soll.Hinweis: Geben Sie nur ein physisches Attribut an. Geben Sie kein bekanntes Attributan.92 Konfigurationshandbuch

Zusätzliche Eigenschaften des CA IdentityMinder-VerzeichnissesAngenommen Sie möchten die Benutzer in den Suchergebnissen nach dem Wert desAttributs "cn" sortieren. Fügen Sie dazu nach dem letztenIMSManagedObjectAttr-Element im Abschnitt für Benutzerobjekte derVerzeichniskonfigurationsdatei die folgenden Elemente hinzu:...cnSuchen über mehrere ObjektklassenWenn Sie einen Benutzer erstellen, durchsucht CA IdentityMinder denBenutzerspeicher, um zu überprüfen, ob der Benutzer bereits vorhanden ist oder nicht.Diese Suche ist auf Benutzer beschränkt, für die eine Objektklasse in derBenutzerobjektdefinition in der Verzeichniskonfigurationsdatei (directory.xml)angegeben ist. Wird in diesen Objektklassen kein vorhandener Benutzer gefunden,versucht CA IdentityMinder, den Benutzer zu erstellen.Ist ein Benutzer mit der gleichen eindeutigen Kennung (Benutzer-ID), aber eineranderen Objektklasse vorhanden, schlägt die Erstellung des Benutzers am LDAP-Serverfehl. Am LDAP-Server wird daraufhin ein Fehler gemeldet, CA IdentityMinder erkenntdiesen Fehler jedoch nicht. Es hat daher den Anschein, als würde CA IdentityMinder denBenutzer erfolgreich erstellen.Um dieses Problem zu vermeiden, können Sie die EigenschaftSEARCH_ACROSS_CLASSES konfigurieren, durch die CA IdentityMinder bei derÜ berprüfung auf vorhandene Benutzer diese über alle Objektklassendefinitionenhinweg sucht.Hinweis: Diese Eigenschaft wirkt sich nur auf Suchen nach doppelten Benutzern aus,wenn Aufgaben wie das Erstellen eines Benutzers ausgeführt werden. Bei allen anderenSuchen gelten die Objektklasseneinschränkungen.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 93

Zusätzliche Eigenschaften des CA IdentityMinder-VerzeichnissesGehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei (directory.xml) dasImsManagedObject-Element, das das Benutzerobjekt beschreibt.2. Fügen Sie das folgende PropertyDict-Element hinzu:trueHinweis: Das PropertyDict-Element muss das letzte Element imImsManagedObject-Element sein, wie im folgenden Beispiel dargestellt:...trueAngeben der Wartezeit für ReplikationenIn einer Bereitstellung, die eine Replikation zwischen Master- undSlave-LDAP-Verzeichnissen beinhaltet, können Sie den SiteMinder-Richtlinienserver sokonfigurieren, dass er mit einem Slaveverzeichnis kommuniziert. Der Richtlinienservererkennt in einer solchen Konfiguration automatisch Verweise auf das Masterverzeichnis,wenn Vorgänge ausgeführt werden, bei denen Daten in das LDAP-Verzeichnisgeschrieben werden. Die Daten werden im Master-LDAP-Verzeichnis gespeichert undentsprechend dem Replikationsschema Ihrer Netzwerkressourcen imSlave-LDAP-Verzeichnis repliziert.Wenn Sie in einer solchen Konfiguration ein Objekt in CA IdentityMinder erstellen, wirddieses im Masterverzeichnis erstellt und zusätzlich im Slaveverzeichnis repliziert.Während des Replikationsprozesses kann es zu Verzögerungen kommen, durch die derErstellungsvorgang in CA IdentityMinder fehlschlägt.Um dieses Problem zu vermeiden, können Sie in der EigenschaftREPLICATION_WAIT_TIME die Wartezeit (in Sekunden) angeben, bevor CAIdentityMinder das Zeitlimit überschreitet.94 Konfigurationshandbuch

Zusätzliche Eigenschaften des CA IdentityMinder-VerzeichnissesGehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei (directory.xml) dasImsManagedObject-Element, das das Benutzerobjekt beschreibt.2. Fügen Sie das folgende PropertyDict-Element hinzu:800Wenn die keine Wartezeit für Replikationen definiert wird, wird der Standardwert 0verwendet.Angeben von LDAP-VerbindungseinstellungenUm die Leistung zu verbessern, können Sie die folgenden Parameter in derVerzeichniskonfigurationsdatei (directory.xml) angeben:VerbindungszeitlimitGibt die maximale Zeit in Millisekunden an, die CA IdentityMinder ein Verzeichnisdurchsucht, bevor die Suche beendet wird.Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben:com.sun.jndi.ldap.connect.timeoutConnection Pool Max SizeGibt die maximale Anzahl von Verbindungen an, die CA IdentityMinder zumLDAP-Verzeichnis herstellen kann.Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben:com.sun.jndi.ldap.connect.pool.maxsizeKapitel 3: Verwaltung des LDAP-Benutzerspeichers 95

So verbessern Sie die Leistung von VerzeichnissuchenConnection Pool Default SizeGibt die Standardanzahl von Verbindungen zwischen CA IdentityMinder und demLDAP-Verzeichnis an.Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben:com.sun.jndi.ldap.connect.pool.prefsizeGehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei (directory.xml) dasImsManagedObject-Element, das das Benutzerobjekt beschreibt.2. Fügen Sie das folgende PropertyDict-Element hinzu:5000200103. Speichern Sie die Datei "directory.xml".CA IdentityMinder konfiguriert diese Einstellungen, wenn Sie das CAIdentityMinder-Verzeichnis mit dieser Datei erstellen.So verbessern Sie die Leistung von VerzeichnissuchenUm die Leistung von Verzeichnissuchen nach Benutzern, Organisationen und Gruppenzu verbessern, führen Sie die folgenden Schritte aus:■Indizieren Sie die Attribute, die Administratoren in Suchanfragen angeben können.Hinweis: In Oracle Internet Directory kann eine Suche fehlschlagen, wenn einAttribut in einer Suchanfrage nicht indiziert ist.■■Konfigurieren Sie die Einstellungen für Seitengröße und maximale Zeilenanzahl(siehe Seite 97), um zu bestimmen, wie CA IdentityMinder große Suchenverarbeitet.Optimieren Sie das Benutzerverzeichnis. Weitere Informationen finden Sie in derDokumentation zum verwendeten Benutzerverzeichnis.96 Konfigurationshandbuch

So verbessern Sie die Leistung von VerzeichnissuchenSo verbessern Sie die Leistung von großen SuchenWenn CA IdentityMinder einen großen Benutzerspeicher verwaltet, reicht bei Suchen,die viele Ergebnisse zurückgeben, der Systemspeicher möglicherweise nicht aus. UmSpeicherprobleme zu vermeiden, können Sie Beschräkungen für große Suchendefinieren.Die beiden folgenden Einstellungen bestimmen, wie CA IdentityMinder große Suchenverarbeitet:■■Maximale ZeilenanzahlGibt die maximale Anzahl von Ergebnissen an, die CA IdentityMinder beimDurchsuchen eines Benutzerverzeichnisses zurückgeben kann. Wenn die Anzahl vonErgebnissen das Limit überschreitet, wird ein Fehler angezeigt.SeitengrößeGibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Beachten Sie beim Angeben der Seitengröße die folgenden Punkte:– Damit Sie die Option zur Festlegung der Seitengröße von Suchen verwendenkönnen, muss der von CA IdentityMinder verwaltete Benutzerspeicher Pagingunterstützen. Einige Benutzerspeichertypen erfordern jedoch zusätzlicheKonfigurationsschritte, damit sie Paging unterstützen. Weitere Informationenfinden Sie in den folgenden Themen:Konfigurieren von Paging-Unterstützung für Sun Java System Directory Server(siehe Seite 99)Konfigurieren von Paging-Unterstützung für Active Directory– Wenn der Benutzerspeicher kein Paging unterstützt und ein Wert für"maxrows" angegeben wird, verwendet CA IdentityMinder nur den Wert für"maxrows" zum Steuern der Suchgröße.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 97

So verbessern Sie die Leistung von VerzeichnissuchenSie können die maximale Zeilenanzahl und Seitengröße an den folgenden Positionenkonfigurieren:■■BenutzerspeicherIn den meisten Benutzerspeichern und Datenbanken können Sie Beschränkungenfür die Suche konfigurieren.Hinweis: Weitere Informationen finden Sie in der Dokumentation zu demverwendeten Benutzerspeicher oder zu der verwendeten Datenbank.CA IdentityMinder-VerzeichnisSie können das DirectorySearch-Element (siehe Seite 58) in der verwendetenVerzeichniskonfigurationsdatei (directory.xml) konfigurieren, um das CAIdentityMinder-Verzeichnis zu erstellen.Standardmäßig ist der Wert für die maximale Zeilenanzahl und Seitengröße fürvorhandene Verzeichnisse unbegrenzt. Für neue Verzeichnisse ist der Wert für diemaximale Zeilenanzahl unbegrenzt und der Wert für die Seitengröße ist 2000.■■Definition für verwaltete ObjekteUm die maximale Zeilenanzahl und Seitengröße für einen einzelnen Objekttypanstatt für ein ganzes Verzeichnis festzulegen, konfigurieren Sie die Definition fürverwaltete Objekte (siehe Seite 61) in der verwendeten Datei "directory.xml", umdas CA IdentityMinder-Verzeichnis zu erstellen.Das Festlegen von Beschränkungen für einen verwalteten Objekttyp ermöglicht esIhnen, Anpassungen basierend auf den Geschäftsanforderungen vorzunehmen.Zum Beispiel haben die meisten Unternehmen mehr Benutzer als Gruppen. DieseUnternehmen können nur Limits für Benutzerobjektsuchen festlegen.AufgabensuchfensterSie können die Anzahl der Suchergebnisse steuern, die Benutzern in den Such- undListenfenstern der Benutzerkonsole angezeigt werden. Wenn die Ergebnisanzahl diemaximale Anzahl von Ergebnissen pro Seite überschreitet, die für die Aufgabedefiniert ist, werden den Benutzern Links zu weiteren Ergebnisseiten angezeigt.Diese Einstellung wirkt sich nicht auf die Anzahl der Ergebnisse aus, die von einerSuche zurückgegeben werden.Hinweis: Weitere Informationen zum Festlegen der Seitengröße in Such- undListenfenstern finden Sie im Administrationshandbuch.Wenn die maximale Zeilenanzahl und Seitengröße an mehreren Positionen definiertwerden, gilt die jeweils spezifischste Einstellung. Zum Beispiel haben Einstellungen fürverwaltete Objekte Vorrang vor Einstellungen auf Verzeichnisebene.98 Konfigurationshandbuch

So verbessern Sie die Leistung von VerzeichnissuchenKonfigurieren von Paging-Unterstützung für Sun Java System Directory ServerSun Java System Directory Server unterstützt Virtual List View (VLV), eine Methode zumZurückgeben von Suchergebnissen in einer bestimmten Reihenfolge oder in bestimmtenTeilmengen. Diese Methode unterscheidet sich von der Simple Paged Results-Methode,von der CA IdentityMinder ausgeht.Um VLV verwenden zu können, müssen Sie Berechtigungen festlegen und Indizeserstellen. CA IdentityMinder beinhaltet die folgenden Dateien, die Sie für diePaging-Unterstützung konfigurieren müssen:■■■vlvcntrl.ldifvlvindex.ldifrunvlvindex.cmd, runvlvindex.shDiese Dateien sind Teil des NeteAuto-Beispiels unter "samples\NeteAuto" in denVerwaltungstools.Die Verwaltungstools werden in den folgenden Standardordnern installiert:Windows: C:\Programme\CA\Identity Manager\IAM Suite\Identity ManagerUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager/Gehen Sie wie folgt vor:1. Fügen Sie dem DirectorySearch-Element (siehe Seite 58) in der Datei"directory.xml" für das CA IdentityMinder-Verzeichnis den folgenden Parameterhinzu:minsortrules="1"Hinweis: Weitere Informationen zum Ändern eines vorhandenen CAIdentityMinder-Verzeichnisses finden Sie unter Aktualisieren von Einstellungen fürein CA IdentityMinder-Verzeichnis (siehe Seite 187).2. Legen Sie die folgenden Berechtigungen für die Datei "vlvcntrl.ldif" fest:ldapmodify -D "cn=Directory Manager" -w password -p port -fvlvcntrl.ldif3. Importieren Sie wie folgt VLV-Suchdefinitionen und -Indexdefinitionen:ldapmodify -D "cn=Directory Manager" -w password -p port -fvlvindex.ldif4. Halten Sie das Verzeichnis wie folgt an:stop-slapd5. Erstellen Sie die Indizes mithilfe von "runvlvindex".6. Starten Sie das Verzeichnis wie folgt:start-slapdKapitel 3: Verwaltung des LDAP-Benutzerspeichers 99

So verbessern Sie die Leistung von VerzeichnissuchenKonfigurieren von Paging-Unterstützung für Active DirectoryUm die Paging-Unterstützung in Active Directory zu konfigurieren, führen Sie diefolgenden allgemeinen Schritte aus:■ Konfigurieren Sie die Unterstützung für Virtual List View (siehe Seite 100).■Konfigurieren Sie "MaxPageSize" für Active Directory (siehe Seite 101). (Nur fürVerzeichnisse, die vor CA IdentityMinder r12.5 SP7 erstellt wurden)Konfigurieren der Unterstützung für Virtual List View (VLV)Active Directory unterstützt Virtual List View (VLV), eine Methode zum Zurückgeben vonSuchergebnissen in einer bestimmten Reihenfolge oder in bestimmten Teilmengen.Diese Methode unterscheidet sich von der Simple Paged Results-Methode, von der CAIdentityMinder ausgeht.Um VLV verwenden zu können, müssen Sie Berechtigungen festlegen und Indizeserstellen. CA IdentityMinder beinhaltet die folgenden Dateien, die Sie für diePaging-Unterstützung konfigurieren müssen:■■■vlvcntrl.ldifvlvindex.ldifrunvlvindex.cmd, runvlvindex.shDiese Dateien sind Teil des NeteAuto-Beispiels unter "samples\NeteAuto" in denVerwaltungstools.Die Verwaltungstools werden in den folgenden Standardordnern installiert:Windows: C:\Programme\CA\Identity Manager\IAM Suite\Identity ManagerUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager/100 Konfigurationshandbuch

So verbessern Sie die Leistung von VerzeichnissuchenGehen Sie wie folgt vor:1. Fügen Sie dem DirectorySearch-Element (siehe Seite 58) in der Datei"directory.xml" für das CA IdentityMinder-Verzeichnis den folgenden Parameterhinzu:minsortrules="1"Hinweis: Weitere Informationen zum Ändern eines vorhandenen CAIdentityMinder-Verzeichnisses finden Sie unter Aktualisieren von Einstellungen fürein CA IdentityMinder-Verzeichnis (siehe Seite 187).2. Legen Sie die folgenden Berechtigungen für die Datei "vlvcntrl.ldif" fest:ldapmodify -D "cn=Directory Manager" -w password -p port -fvlvcntrl.ldif3. Importieren Sie wie folgt VLV-Suchdefinitionen und -Indexdefinitionen:ldapmodify -D "cn=Directory Manager" -w password -p port -fvlvindex.ldif4. Halten Sie das Verzeichnis wie folgt an:stop-slapd5. Erstellen Sie die Indizes mithilfe von "runvlvindex".6. Starten Sie das Verzeichnis wie folgt:start-slapdKonfigurieren von "MaxPageSize" in Active DirectoryActive Directory verwendet als Standardeinstellung für "MaxPageSize" den Wert "1000".Nehmen wir an, der Wert für das Attribut "maxpagesize" in der Datei "directory.xml" istgrößer als oder gleich 1000. In diesem Fall zeigt CA IdentityMinder keine Warnung an,wenn die Anzahl der Suchergebnisse die maximale Zeilenanzahl in der Datei"directory.xml" überschreitet. Administratoren, die die Suche ausführen, wissen dahernicht, dass einige Suchergebnisse fehlen.Um dieses Problem zu vermeiden, stellen Sie sicher, dass der Wert des Attributs"maxpagesize" für das Verzeichnis und jedes verwaltete Objekt kleiner ist als der Wertfür "MaxPageSize" in Active Directory.Nehmen Sie an, Sie erstellen ein CA IdentityMinder-Verzeichnis mithilfe derVorlagendatei "directory.xml", die zusammen mit CA IdentityMinder 12.5 SP7 oderhöher installiert wird. In diesem Fall müssen Sie keine zusätzlichen Schritte für diePaging-Unterstützung ausführen. Das Attribut "maxpagesize" in "directory.xml" wirdstandardmäßig festgelegt.Kapitel 3: Verwaltung des LDAP-Benutzerspeichers 101

So verbessern Sie die Leistung von VerzeichnissuchenWenn Sie jedoch einem vorhandenen CA IdentityMinder-VerzeichnisPaging-Unterstützung hinzufügen, muss das Attribut "maxpagesize" in "directory.xml"kleiner sein als 1000.Wenn das Active Directory-Attribut "MaxPageSize" den Wert "1000" hat, müssen Siedarauf achten, dass Sie das Attribut "maxpagesize" für das CAIdentityMinder-Verzeichnis und alle verwalteten Objekte entsprechend festlegen.102 Konfigurationshandbuch

Kapitel 4: Verwaltung relationalerDatenbankenDieses Kapitel enthält folgende Themen:CA IdentityMinder-Verzeichnisse (siehe Seite 103)Wichtige Hinweise für die Konfiguration von CA IdentityMinder für relationaleDatenbanken (siehe Seite 105)Erstellen einer Oracle-Datenquelle für WebSphere (siehe Seite 106)So erstellen Sie ein CA IdentityMinder-Verzeichnis (siehe Seite 107)So erstellen Sie eine JDBC-Datenquelle (siehe Seite 107)So erstellen Sie eine ODBC-Datenquelle für die Verwendung mit SiteMinder (siehe Seite115)So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei (siehe Seite115)Verbindung zum Benutzerverzeichnis (siehe Seite 138)Bekannte Attribute für eine relationale Datenbank (siehe Seite 144)So konfigurieren Sie selbstabonnierende Gruppen (siehe Seite 149)Validierungsregeln (siehe Seite 151)Organisationsverwaltung (siehe Seite 151)So verbessern Sie die Leistung von Verzeichnissuchen (siehe Seite 154)CA IdentityMinder-VerzeichnisseEin CA IdentityMinder-Verzeichnis beschreibt, wie Objekte, z. B. Benutzer, Gruppen und(optional) Organisationen, im Benutzerspeicher gespeichert und in CA IdentityMinderdargestellt werden. Ein CA IdentityMinder-Verzeichnis ist einer oder mehreren CAIdentityMinder-Umgebungen zugeordnet.Kapitel 4: Verwaltung relationaler Datenbanken 103

CA IdentityMinder-VerzeichnisseDie folgende Abbildung zeigt die Beziehung zwischen einem CAIdentityMinder-Verzeichnis und einem Benutzerspeicher:Hinweis: Einige Benutzerattribute in der Datenbank sind nicht Teil des CAIdentityMinder-Verzeichnisses. Sie werden daher von CA IdentityMinder nichtverwaltet.104 Konfigurationshandbuch

Wichtige Hinweise für die Konfiguration von CA IdentityMinder für relationale DatenbankenWichtige Hinweise für die Konfiguration von CA IdentityMinderfür relationale DatenbankenBevor Sie CA IdentityMinder für die Verwaltung einer relationalen Datenbankkonfigurieren, müssen Sie sicherstellen, dass die Datenbank die folgendenAnforderungen erfüllt:■Auf die Datenbank muss über einen JDBC-Treiber oder einen ODBC-Treiber (OpenDatabase Connectivity) zugegriffen werden können (wenn CA IdentityMinder mitSiteMinder integriert ist). Der Treiber muss äußere Verknüpfungen unterstützen.Wenn mehr als zwei Tabellen verwendet werden, um ein verwaltetes Objektdarzustellen, muss der Treiber außerdem verschachtelte äußere Verknüpfungenunterstützen.Hinweis: Wenn der Treiber keine äußeren Verknüpfungen unterstützt, verwendetCA IdentityMinder beim Abfragen der Datenbank innere Verknüpfungen. Dies kannjedoch unerwartete Abfrageergebnisse zur Folge haben.■ Geben Sie jedes von CA IdentityMinder verwaltete Objekt eindeutig an, z. B.Benutzer, Gruppe oder Organisation (sofern unterstützt). Die eindeutige Kennungeines Benutzers kann zum Beispiel eine Anmelde-ID sein.Hinweis: Vergewissern Sie sich, dass die eindeutige Kennung in einer einzelnenSpalte gespeichert ist.■CA IdentityMinder erfordert einige mehrwertige Attribute, die als eine begrenzteListe in einer einzelnen Zelle oder in mehreren Zeilen in einer separaten Tabellegespeichert werden können. In der folgenden tblGroupMembers-Tabelle sind zumBeispiel die Mitglieder einer Gruppe gespeichert:IDResearchResearchMarketingMarketingMitgliederdmasonrsavorydmasonawelchDie ID-Spalte enthält die eindeutige Kennung für eine Gruppe, und dieMitglieder-Spalte enthält die eindeutige Kennung für ein Gruppenmitglied. ZumBeispiel sind "dmason" und "rsavory" Mitglieder der Gruppe "Research". Wenndiese Gruppe um ein neues Mitglied erweitert wird, wird "tblGroupMembers" eineweitere Zeile hinzugefügt.Kapitel 4: Verwaltung relationaler Datenbanken 105

Erstellen einer Oracle-Datenquelle für WebSphere■Wenn Ihre Umgebung Organisationen beinhaltet, führen Sie den folgenden Schrittaus:– Bearbeiten Sie ein in CA IdentityMinder enthaltenes SQL-Skript, und führen Siees in der Datenbank aus, um die Unterstützung für Organisationen zukonfigurieren (siehe Seite 152).– CA IdentityMinder erfordert eine übergeordnete Organisation, die alsStammorganisation bezeichnet wird. Alle anderen Organisationen beziehensich auf diese Stammorganisation.Weitere Informationen zu Organisationsanforderungen finden Sie unterOrganisationsverwaltung (siehe Seite 151).Erstellen einer Oracle-Datenquelle für WebSphereGehen Sie wie folgt vor:1. Navigieren Sie in der WebSphere-Verwaltungskonsole zu dem JDBC-Anbieter, denSie bei der Konfiguration des JDBC-Treiber erstellt haben.2. Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften, und klicken Sie auf"Anwenden":Name: User Store Data SourceJNDI-Name: userstoreURL: jdbc:oracle:thin:@db_systemname:1521:oracle_sid3. Konfigurieren Sie einen neuen J2C-Authentifizierungsdateneintrag für dieBenutzerspeicher-Datenquelle:a. Geben Sie folgende Eigenschaften ein:Alias: User StoreBenutzer-ID: usernameKennwort: passwordDabei stehen username und password für den Benutzernamen und dasKennwort des Kontos, das Sie beim Erstellen der Datenbank angegeben haben.b. Klicken Sie auf "OK", und verwenden Sie dann die Navigationsverknüpfungenoben in dem Fenster, um zu der Datenquelle zurückzukehren, die Sie erstellen.106 Konfigurationshandbuch

So erstellen Sie ein CA IdentityMinder-Verzeichnis4. Wählen Sie den erstellten J2C-Authentifizierungsdateneintrag für denBenutzerspeicher aus dem Listenfeld in den folgenden Feldern aus:■■Component-managed Authentication Alias (KomponentenverwalteterAuthentifizierungsalias)Container-managed Authentication Alias (ContainerverwalteterAuthentifizierungsalias)5. Klicken Sie auf "OK", und speichern Sie dann die Konfiguration.Hinweis: Um zu überprüfen, ob die Datenquelle richtig konfiguriert ist, klicken Sieim Konfigurationsbildschirm für die Datenquelle auf "Verbindung testen". Wenn derVerbindungstest fehlschlägt, starten Sie WebSphere neu, und testen Sie dieVerbindung erneut.So erstellen Sie ein CA IdentityMinder-VerzeichnisGehen Sie wie folgt vor:1. Wenn Sie SiteMinder verwenden, wenden Sie das Richtlinienspeicherschema an,bevor Sie ein CA IdentityMinder-Verzeichnis erstellen.Hinweis: Weitere Informationen zu bestimmten Richtlinienspeicherschemen undderen Anwendung finden Sie im Installationshandbuch.2. Wenn Sie SiteMinder verwenden, erstellen Sie eine ODBC-Datenquelle für dieVerwendung mit SiteMinder (siehe Seite 115).3. Erstellen Sie eine Datenquelle für die von CA IdentityMinder verwalteteBenutzerdatenbank.4. Beschreiben Sie die Datenbank in CA IdentityMinder, indem Sie dieVerzeichniskonfigurationsdatei (directory.xml) ändern. Weitere Informationenhierzu finden Sie unter So beschreiben Sie eine Datenbank in einerVerzeichniskonfigurationsdatei.5. Importieren Sie in der Management-Konsole die Verzeichniskonfigurationsdatei,und erstellen Sie das Verzeichnis.So erstellen Sie eine JDBC-DatenquelleCA IdentityMinder erfordert eine JDBC-Datenquelle auf dem Anwendungsserver, aufdem CA IdentityMinder installiert ist, um eine Verbindung zum Benutzerspeicherherstellen zu können. Die Anweisungen zum Erstellen einer Datenquelle unterscheidensich je nach Anwendungsserver.Kapitel 4: Verwaltung relationaler Datenbanken 107

So erstellen Sie eine JDBC-DatenquelleErstellen einer JDBC-Datenquelle für JBoss-AnwendungsserverGehen Sie wie folgt vor:1. Erstellen Sie eine Kopie der folgenden Datei:jboss_home\server\default\deploy\objectstore-ds.xmljboss homeDas Installationsverzeichnis des JBoss-Anwendungsservers, auf dem CAIdentityMinder installiert ist.Die neue Datei muss sich im gleichen Verzeichnis befinden.2. Benennen Sie die Datei in "userstore-ds.xml" um.3. Bearbeiten Sie die Datei "userstore-ds.xml" wie folgt:a. Suchen Sie das -Element.b. Ändern Sie wie folgt den Wert des -Elements von"jdbc/objectstore" in "userstore":userstorec. Ändern Sie wie folgt im -Element den Parameter"DatabaseName" in den Namen der Datenbank, die als Benutzerspeicher dient:jdbc:sqlserver://ipaddress:port;selectMethod=cursor;DatabaseName=userstore_nameipaddressportGibt die IP-Adresse des Rechners an, auf dem der Benutzerspeicherinstalliert ist.Gibt die Portnummer für die Datenbank an.userstore_nameGibt den Namen der Datenbank an, die als Benutzerspeicher dient.108 Konfigurationshandbuch

So erstellen Sie eine JDBC-Datenquelle4. Führen Sie die folgenden Schritte aus, wenn Sie einen JBoss-Sicherheitsbereicherstellen möchten, was zur Unterstützung von FIPS erforderlich ist:a. Benennen Sie die Sicherheitsdomäne in"imuserstoredb" um.b. Speichern Sie die Datei.c. Ü berspringen Sie die restlichen Schritte. Führen Sie statt dessen die Schritteunter Verwenden eines JBoss-Sicherheitsbereichs für die JDBC-Datenquelle(siehe Seite 110) aus.5. Nehmen Sie die folgenden zusätzlichen Änderungen an der Datei "userstore-ds.xml"vor:a. Ändern Sie den Wert des -Elements in den Benutzernamen für einKonto, das Lese- und Schreibzugriff auf den Benutzerspeicher hat.b. Ändern Sie den Wert des -Elements in das Kennwort für das im-Element angegebene Konto.Hinweis: Der Benutzername und das Kennwort werden in dieser Dateiunverschlüsselt angezeigt. Sie können daher auch einen JBoss-Sicherheitsbereicherstellen, anstatt die Datei "userstore-ds.xml" zu bearbeiten.6. Speichern Sie die Datei.Kapitel 4: Verwaltung relationaler Datenbanken 109

So erstellen Sie eine JDBC-DatenquelleVerwenden eines JBoss-Sicherheitsbereichs für die JDBC-DatenquelleStellen Sie sicher, dass Sie eine JDBC-Datenquelle auf einem JBoss-Anwendungsservererstellen. Sie können die Datenquelle so konfigurieren, dass diese einen Benutzernamenund ein Kennwort verwendet oder dass sie einen Sicherheitsbereich verwendet.Wichtig! Vergewissern Sie sich, dass Sie bei Verwendung von FIPS die Option für denJBoss-Sicherheitsbereich nutzen.Gehen Sie wie folgt vor:1. Führen Sie die Schritte unter Erstellen einer JDBC-Datenquelle fürJBoss-Anwendungsserver (siehe Seite 108) aus.Geben Sie in der Datei "userstore-ds.xml" keinen Benutzernamen und keinKennwort an, wie in Schritt 4 beschrieben.2. Ö ffnen Sie die Datei "login-cfg.xml" im Verzeichnis"jboss_home\server\default\conf".3. Suchen Sie den folgenden Eintrag in der Datei:fwadmin{PBES}:gSex2/BhDGzEKWvFmzca4w==jboss.jca:name=jdbc/objectstore,service=NoTxCM4. Kopieren Sie den gesamten Eintrag, und fügen Sie ihn in die Datei "login-cfg.xml"zwischen den Tags und ein.5. Nehmen Sie in dem Eintrag, den Sie in die Datei eingefügt haben, die folgendenÄnderungen vor:a. Ändern Sie wie folgt den Wert des Namensattributs von "imobjectstoredb" in"imuserstoredb":b. Geben Sie wie folgt den Namen des Benutzers für die Authentifizierung amBenutzerspeicher an:user_store_userc. Geben Sie wie folgt das Kennwort für den im vorherigen Schritt angegebenenBenutzer an:110 Konfigurationshandbuch

So erstellen Sie eine JDBC-Datenquelleuser_store_user_passwordHinweis: Um das Kennwort für den Benutzerspeicher zu verschlüsseln,verwenden Sie das Kennworttool (pwdtools), das zusammen mit CAIdentityMinder installiert wurde.d. Geben Sie wie folgt im Element den korrekten "jdbc.jca:name" an:jboss.jca:name=userstore,service=NoTxCM6. Speichern Sie die Datei.7. Starten Sie den Anwendungsserver neu.Erstellen einer JDBC-Datenquelle für WebLogicSie erstellen die Datenquelle in der WebLogic-Verwaltungskonsole.Hinweis: Ausführliche Informationen über WebLogic-Verbindungspools finden Sie in derDokumentation zu Oracle WebLogic 11.Gehen Sie wie folgt vor:1. Erstellen Sie in der WebLogic-Verwaltungskonsole eine JDBC-Datenquelle mit denfolgenden Parametern:Name: User Store Data SourceJNDI-Name: userstore2. Erstellen Sie den Verbindungspool für die Datenquelle mit den folgendenInformationen:Kapitel 4: Verwaltung relationaler Datenbanken 111

So erstellen Sie eine JDBC-Datenquelle■■Verwenden Sie für SQL Server 2005-Datenbanken die folgenden Werte:URL: jdbc:sqlserver://db_systemName:1433Treiberklassenname: com.microsoft.sqlserver.jdbc.SQLServerDriverEigenschaften: user=usernamedatabaseName=user store nameselectMethod=cursorKennwort: passwordVerwenden Sie für Oracle-Datenbanken die folgenden Werte:URL: jdbc:oracle:thin:@tp_db_systemname:1521:oracle_SIDTreiberklassenname: oracle.jdbc.driver.OracleDriverEigenschaften: user=usernameKennwort: password3. Legen Sie nach der Konfiguration als Ziel für den Pool die Serverinstanzwl_server_name fest.Ü berprüfen Sie nach der Bereitstellung des Pools in der Konsole, ob Fehleraufgetreten sind.Hinweis: Möglicherweise wird ein Fehler angezeigt, demzufolge für einen nichtvorhandenen Pool die Datenquelle nicht erstellt werden konnte. Um diesen Fehlerzu beheben, starten Sie WebLogic neu.WebSphere-DatenquellenIn den folgenden Abschnitten wird beschrieben, wie Sie eine SQL- oderOracle-Datenquelle für WebSphere-Anwendungsserver erstellen.Erstellen einer SQL Server-Datenquelle für WebSphereGehen Sie wie folgt vor:1. Navigieren Sie in der WebSphere-Verwaltungskonsole zu dem JDBC-Anbieter, denSie bei der Konfiguration des JDBC-Treiber erstellt haben.2. Wählen Sie im Abschnitt "Weitere Eigenschaften" die Option "Datenquellen" aus.3. Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften, und klicken Sie auf"Anwenden":Name: User Store Data SourceJNDI-Name: userstoreDatenbankname: userstore_nameServername: db_systemname112 Konfigurationshandbuch

So erstellen Sie eine JDBC-Datenquelle4. Konfigurieren Sie die selectMethod-Eigenschaft wie folgt:a. Wählen Sie im Abschnitt "Weitere Eigenschaften" die Option"Benutzerdefinierte Eigenschaften" aus.b. Klicken Sie auf die benutzerdefinierte Eigenschaft "selectMethod".c. Geben Sie den folgenden Text in das Feld "Wert" ein:cursord. Klicken Sie auf "OK", und verwenden Sie dann die Navigationsverknüpfungenoben in dem Fenster, um zu der Datenquelle zurückzukehren, die Sie erstellen.5. Konfigurieren Sie einen neuen J2C-Authentifizierungsdateneintrag für dieBenutzerspeicher-Datenquelle:a. Wählen Sie im Abschnitt für verknüpfte Elemente J2EE ConnectorArchitecture-Authentifizierungsdateneinträge (J2C) aus.b. Klicken Sie auf "Neu".c. Geben Sie folgende Eigenschaften ein:Alias: User StoreBenutzer-ID: usernameKennwort: passwordDabei stehen username und password für den Benutzernamen und dasKennwort des Kontos, das Sie beim Erstellen der Datenbank angegeben haben.d. Klicken Sie auf "OK", und verwenden Sie dann die Navigationsverknüpfungenoben in dem Fenster, um zu der Datenquelle zurückzukehren, die Sie erstellen.6. Wählen Sie den erstellten J2C-Authentifizierungsdateneintrag für denBenutzerspeicher aus dem Listenfeld im Feld "Component-managed AuthenticationAlias" (Komponentenverwalteter Authentifizierungsalias) aus.7. Klicken Sie auf "OK", und speichern Sie dann die Konfiguration.Erstellen einer Oracle-Datenquelle für WebSphereHinweis: Um zu überprüfen, ob die Datenquelle richtig konfiguriert ist, klicken Sieim Konfigurationsbildschirm für die Datenquelle auf "Verbindung testen". Wenn derVerbindungstest fehlschlägt, starten Sie WebSphere neu, und testen Sie dieVerbindung erneut.Gehen Sie wie folgt vor:1. Navigieren Sie in der WebSphere-Verwaltungskonsole zu dem JDBC-Anbieter, denSie bei der Konfiguration des JDBC-Treiber erstellt haben.Kapitel 4: Verwaltung relationaler Datenbanken 113

So erstellen Sie eine JDBC-Datenquelle2. Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften, und klicken Sie auf"Anwenden":Name: User Store Data SourceJNDI-Name: userstoreURL: jdbc:oracle:thin:@db_systemname:1521:oracle_sid3. Konfigurieren Sie einen neuen J2C-Authentifizierungsdateneintrag für dieBenutzerspeicher-Datenquelle:a. Geben Sie folgende Eigenschaften ein:Alias: User StoreBenutzer-ID: usernameKennwort: passwordDabei stehen username und password für den Benutzernamen und dasKennwort des Kontos, das Sie beim Erstellen der Datenbank angegeben haben.b. Klicken Sie auf "OK", und verwenden Sie dann die Navigationsverknüpfungenoben in dem Fenster, um zu der Datenquelle zurückzukehren, die Sie erstellen.4. Wählen Sie den erstellten J2C-Authentifizierungsdateneintrag für denBenutzerspeicher aus dem Listenfeld in den folgenden Feldern aus:■■Component-managed Authentication Alias (KomponentenverwalteterAuthentifizierungsalias)Container-managed Authentication Alias (ContainerverwalteterAuthentifizierungsalias)5. Klicken Sie auf "OK", und speichern Sie dann die Konfiguration.Hinweis: Um zu überprüfen, ob die Datenquelle richtig konfiguriert ist, klicken Sieim Konfigurationsbildschirm für die Datenquelle auf "Verbindung testen". Wenn derVerbindungstest fehlschlägt, starten Sie WebSphere neu, und testen Sie dieVerbindung erneut.114 Konfigurationshandbuch

So erstellen Sie eine ODBC-Datenquelle für die Verwendung mit SiteMinderSo erstellen Sie eine ODBC-Datenquelle für die Verwendung mitSiteMinderWenn CA IdentityMinder und SiteMinder integriert sind, definieren Sie eineODBC-Datenquelle auf dem SiteMinder-Rechner, der auf die Datenbank verweist.Notieren Sie den Namen der Datenquelle für die spätere Verwendung. Fahren Sie wiefolgt fort:■■Windows: Konfigurieren Sie die ODBC-Datenquelle als ein System-DN.Anweisungen hierzu finden Sie in der Dokumentation zu IhremWindows-Betriebssystem.UNIX: Fügen Sie der Datei "system_odbc.ini" im Verzeichnispolicy_server_installation/db einen Eintrag hinzu, der die Parameter für dieODBC-Datenquelle angibt.So beschreiben Sie eine Datenbank in einerVerzeichniskonfigurationsdateiUm eine Datenbank verwalten zu können, muss CA IdentityMinder dieDatenbankstruktur und den Datenbankinhalt erkennen. Zum Beschreiben derDatenbank in CA IdentityMinder erstellen Sie eine Verzeichniskonfigurationsdatei(directory.xml).Die Verzeichniskonfigurationsdatei enthält einen oder mehrere der folgendenAbschnitte:Informationen zum CA IdentityMinder-VerzeichnisEnthält Information zu dem CA IdentityMinder-Verzeichnis, das CA IdentityMinderverwendet.AttributvalidierungDefiniert die Validierungsregeln, die auf das CA IdentityMinder-Verzeichnisangewandt werden.Informationen zum AnbieterBeschreibt den Benutzerspeicher, den CA IdentityMinder verwaltet.Informationen zur VerzeichnissucheErmöglicht Ihnen, anzugeben, wie CA IdentityMinder den Benutzerspeicherdurchsucht.Benutzerobjekt (siehe Seite 118)Beschreibt, wie Benutzer im Benutzerspeicher gespeichert werden und wie sie in CAIdentityMinder dargestellt werden.Kapitel 4: Verwaltung relationaler Datenbanken 115

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiGruppenobjekt (siehe Seite 118)Beschreibt, wie Gruppen im Benutzerspeicher gespeichert werden und wie sie in CAIdentityMinder dargestellt werden.Organisationsobjekt (siehe Seite 118)Beschreibt, wie Organisationen gespeichert werden und wie sie in CAIdentityMinder dargestellt werden.Selbstabonnierende GruppenKonfiguriert die Unterstützung für Gruppen, denen Self-Service-Benutzer beitretenkönnen.Das Verzeichnis, in dem Sie die Verwaltungstools für CA IdentityMinder installierthaben, enthält die folgende Vorlage einer Verzeichniskonfigurationsdatei für relationaleDatenbanken:admin_tools\directoryTemplates\RelationalDatabase\directory.xmladmin_toolsDefiniert das Installationsverzeichnis der CA IdentityMinder-Verwaltungstools,wie in den folgenden Beispielen dargestellt:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsHinweis: Die Vorlage der Verzeichniskonfigurationsdatei in"directoryTemplates\RelationalDatabase" ist für Umgebungen konfiguriert, dieOrganisationen unterstützen. Um eine Verzeichniskonfigurationsdatei für eineUmgebung anzuzeigen, die keine Organisationen einschließt, suchen Sie in der Datei"directory.xml" nach dem NeteAuto-Beispiel im Verzeichnis"admin_tools\samples\NeteAutoRDB\NoOrganization".Kopieren Sie die Konfigurationsvorlage in ein neues Verzeichnis, oder speichern Sie sieunter einem anderen Namen, damit sie nicht überschrieben wird. Anschließend könnenSie die Vorlage ändern, sodass sie Ihre Datenbankstruktur widerspiegelt.In der Verzeichniskonfigurationsdatei gelten zwei wichtige Konventionen:■## - Kennzeichnet erforderliche Werte.Um alle erforderlichen Informationen anzugeben, suchen nach doppeltenRautenzeichen (##), und ersetzen Sie sie durch entsprechende Werte. Beispielweisekennzeichnet ##PASSWORD_HINT, dass Sie ein Attribut angeben müssen, in demeine Frage gespeichert ist, die der Benutzer zum Erhalt eines temporärenKennworts beantworten muss, wenn er sein Kennwort vergessen hat.116 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei■@ - Kennzeichnet Werte, die von CA IdentityMinder ausgefüllt werden. Diese Wertedürfen in der Verzeichniskonfigurationsdatei nicht geändert werden. CAIdentityMinder fordert Sie beim Import der Verzeichniskonfigurationsdatei auf,diese Werte anzugeben.Bevor Sie die Verzeichniskonfigurationsdatei ändern, benötigen Sie die folgendenInformationen:■■Tabellennamen für die Benutzer-, Gruppen- und Organisationsobjekte (wenn IhreStruktur Organisationen einschließt).Eine Liste von Attributen in Benutzer-, Gruppen- und Organisationsprofilen (wennIhre Struktur Organisationen einschließt).Ändern der VerzeichniskonfigurationsdateiFühren Sie das folgende Verfahren aus, um die Verzeichniskonfigurationsdatei zuändern.Gehen Sie wie folgt vor:1. Konfigurieren Sie eine Verbindung zur Datenbank.2. Geben Sie an, wie lange CA IdentityMinder ein Verzeichnis suchen soll, bevor dieSuche beendet wird.3. Definieren Sie die von CA IdentityMinder verwalteten Objekte (siehe Seite 118) fürBenutzer und Gruppen.4. Ändern Sie bekannte Attribute.Bekannte Attribute kennzeichnen besondere Attribute, wie das Kennwortattribut inCA IdentityMinder.5. Konfigurieren Sie die Unterstützung für selbstabonnierende Gruppen.6. Wenn Ihre Umgebung Organisationen einschließt, konfigurieren Sie dieUnterstützung für Organisationen.Weitere Informationen:Beschreibung von verwalteten Objekten (siehe Seite 118)Bekannte Attribute für eine relationale Datenbank (siehe Seite 144)So konfigurieren Sie selbstabonnierende Gruppen (siehe Seite 149)Organisationsverwaltung (siehe Seite 151)Kapitel 4: Verwaltung relationaler Datenbanken 117

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiBeschreibung von verwalteten ObjektenIn CA IdentityMinder verwalten Sie die folgenden Objekttypen, die Einträgen in einemBenutzerspeicher entsprechen:■■Benutzer - Stellt Benutzer in einem Unternehmen dar.Gruppen - Stellt Gruppen von Benutzern dar, die etwas gemein haben.■(Optional) Organisationen - Stellt Geschäftsbereiche dar. Organisationen könnenBenutzer, Gruppen und andere Organisationen enthalten.Hinweis: Weitere Informationen zur Konfiguration von Organisationen finden Sieunter Organisationsverwaltung (siehe Seite 151).So beschreiben Sie ein verwaltetes ObjektEine Objektbeschreibung enthält die folgenden Informationen:■■Informationen zu dem Objekt (siehe Seite 118), wie die Tabellen, in denen dasObjekt gespeichert ist.Die Attribute, in denen Informationen zu einem Eintrag gespeichert sind (sieheSeite 123). Zum Beispiel ist im Attribut "pager" eine Pagernummer gespeichert.Wichtig! Eine CA IdentityMinder-Umgebung unterstützt nur jeweils einen Typ vonBenutzer-, Gruppen- und Organisationsobjekt.Ein verwaltetes Objekt wird beschrieben, indem Sie Objektinformation in denAbschnitten für Benutzerobjekt, Gruppenobjekt und Organisationsobjekt (wenn dieDatenbank Organisationen einschließt) der Verzeichniskonfigurationsdatei angeben.Jeder dieser Abschnitte enthält ein ImsManagedObject-Element, wie zum Beispiel derfolgende Code:Das ImsManagedObject-Element kann die folgenden Elemente enthalten:■ Table (erforderlich)■ UniqueIdentifier (erforderlich)■■ImsManagedObjectAttr (erforderlich)RootOrg (nur für Organisationsobjekte)118 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiDatenbanktabellenVerwenden Sie das Element "Table" in der Verzeichniskonfigurationsdatei, um dieTabellen zu definieren, in denen Informationen zu einem verwalteten Objektgespeichert sind.Jedes verwaltete Objekt muss eine primäre Tabelle aufweisen, die die eindeutigeKennung für das Objekt enthält. Zusatzinformationen können in sekundären Tabellengespeichert werden.Die folgende Abbildung zeigt einer Datenbank, bei der Benutzerinformationen in einerprimären und sekundären Tabelle gespeichert sind:Wenn die Informationen zu einem Objekt in mehreren Tabellen gespeichert sind,erstellen Sie ein Element "Table" für jede Tabelle. Verwenden Sie dasReference-Element in dem Table-Element für eine sekundäre Tabelle, um die Beziehungzur primären Tabelle zu definieren.Wenn zum Beispiel grundlegende Informationen über einen Benutzer in "tblUsers" undAdressinformation in "tblUserAddress" gespeichert werden, würden dieTabellendefinitionen für das verwaltete Objekt "Benutzer" den folgenden Einträgenentsprechen:Kapitel 4: Verwaltung relationaler Datenbanken 119

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiTabellenelementeDie Parameter für ein Tabellenelement lauten wie folgt:name(Erforderlich)Gibt den Namen der Tabelle an, in der einige oder alle Attribute in einemverwalteten Profil eines Objekts gespeichert sind.primaryGibt an, ob die Tabelle die primäre Tabelle für das verwaltete Objekt ist. Dieprimäre Tabelle enthält wie folgt die eindeutige Kennung für das Objekt:■■FilterTrue - Die Tabelle ist die primäre Tabelle.False - Die Tabelle ist eine sekundäre Tabelle (Standardeinstellung).Wenn Sie den Parameter "primary" nicht angeben, geht CA IdentityMinder davonaus, dass die Tabelle eine sekundäre Tabelle ist.Hinweis: Nur eine Tabelle kann die primäre Tabelle sein.Gibt eine Teilmenge der Tabelleneinträge an, die sich auf das verwaltete Objektbeziehen.Der optionale Filterparameter entspricht dem folgenden Beispiel:filter="ORG=2"Hinweis: Der Filter wird nur auf Abfragen angewandt, die CA IdentityMindergeneriert. Wenn Sie eine generierte Abfrage mit einer benutzerdefinierten Abfrageüberschreiben, geben Sie den Filter in der benutzerdefinierten Abfrage an.fullouterjoinGibt an, ob die äußere Verknüpfung eine vollständige äußere Verknüpfung ist.■■True - Die äußere Verknüpfung ist eine vollständige äußere Verknüpfung. Indiesem Fall ist die Bedingung, die zum Zurückgeben einer gültigen Zeileerforderlich ist,dass diese in beiden Tabellen der Verknüpfung zu finden ist.False - Die äußere Verknüpfung ist eine linke äußere Verknüpfung relativ zurprimären Tabelle. In diesem Fall müssen nur die Zeilen in einer Tabelle in derAbfrage die Bedingung erfüllen (Standardeinstellung).Hinweis: Die Parameter sind optional, wenn nichts anderes angegeben ist.Der Parameter "Table" kann eines oder mehrere Reference-Elemente enthalten, umeine primäre Tabelle mit sekundären Tabellen zu verknüpfen.120 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiReference-ElementDie Parameter im Reference-Element lauten wie folgt:childcolGibt die Spalte in der sekundären Tabelle (im entsprechenden Table-Element) an,die der Spalte in der primären Tabelle zugeordnet ist.primarycolAngeben von ObjektinformationenGibt die Spalte in der primären Tabelle an, die der Spalte in der sekundären Tabellezugeordnet ist.Hinweis: Die Parameter sind optional, wenn nichts anderes angegeben ist.Objektinformationen werden angegeben, indem Sie Werte für verschiedene Parameterfestlegen.Gehen Sie wie folgt vor:1. Suchen Sie das ImsManagedObject-Element im Abschnitt für Benutzerobjekte,Gruppenobjekte oder Organisationsobjekte.2. Geben Sie Werte für die folgenden Parameter an:name(Erforderlich)Gibt einen eindeutigen Namen für das verwaltete Objekt an.BeschreibungGibt die Beschreibung des verwalteten Objekts an.objecttype(Erforderlich)Gibt den Typ des verwalteten Objekts an. Die folgenden Werte sind gültig:■■■USERGROUPORGANIZATIONDas ImsManagedObject-Element muss dem folgenden Code entsprechen:3. Geben Sie Tabelleninformationen an, wie unter Datenbanktabellen (sieheSeite 119) beschrieben.Kapitel 4: Verwaltung relationaler Datenbanken 121

So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei4. Geben Sie die Spalte an, die die eindeutige Kennung für das Objekt (siehe Seite 122)enthält.5. Beschreiben Sie die Attribute, die das Profil des Objekts bilden (siehe Seite 123).6. Wenn Sie ein Organisationsobjekt konfigurieren, wechseln Sie zuOrganisationsverwaltung (siehe Seite 151).So geben Sie die eindeutige Kennung für ein verwaltetes Objekt anJedes Objekt, das von CA IdentityMinder verwaltet wird, muss eine eindeutige Kennunghaben. Vergewissern Sie sich, dass die eindeutige Kennung in einer einzelnen Spalte inder primären Tabelle des verwalteten Objekts gespeichert ist. Primäre Tabellen werdenunter Datenbanktabellen (siehe Seite 119) beschrieben.Verwenden Sie die Elemente "UniqueIdentifier" und "UniqueIdentifierAttr", um dieeindeutige Kennung wie folgt zu definieren:Das UniqueIdentifierAttr-Element erfordert den Namensparameter. Der Wert desNamensparameters ist das Attribut, in dem die eindeutige Kennung gespeichert ist. DerWert kann ein physisches Attribut oder ein bekanntes Attribut (siehe Seite 79) sein.Wenn Sie ein physisches Attribut angeben, beachten Sie die folgenden Punkte:■■Vergewissern Sie sich, dass das angegebene Attribut in der Datenbank vorhandenist und dass es in der Verzeichniskonfigurationsdatei definiert ist, wie in So ändernSie Attributbeschreibungen (siehe Seite 123) beschrieben. Geben Sie in derAttributbeschreibung die Berechtigung "nur lesen" oder "einmal schreiben" an, umzu verhindern, dass die eindeutige Kennung während einer Sitzung geändert wird.Verwenden Sie die folgende Syntax, um ein physisches Attribut anzugeben:tablename.columnnametablenameDefiniert den Namen der Tabelle, in der sich das Attribut befindet. Dieangegebene Tabelle muss die primäre Tabelle sein.columnnameDefiniert den Namen der Spalte, in der das Attribut gespeichert ist.■Wenn die Datenbank die eindeutige Kennung generiert, geben Sie einenbenutzerdefinierten Vorgang für das Attribut (siehe Seite 134) an. Zum Beispielkönnen Sie einen Vorgang angeben, durch den die zuletzt generierte Kennung ausder Datenbank abgerufen wird.122 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiSo ändern Sie AttributbeschreibungenIn einem Attribut werden Informationen zu einer Benutzer-, Gruppen- oderOrganisationsentität gespeichert, wie eine Telefonnummer oder Adresse. Die Attributeeiner Entität bestimmen deren Profil.In der Verzeichniskonfigurationsdatei werden Attribute inImsManagedObjectAttr-Elementen beschrieben. In den Abschnitten für Benutzer-,Gruppen- und Organisationsobjekte der Verzeichniskonfigurationsdatei:■■Ändern Sie die Standardattributbeschreibungen, um Ihre Datenbankattribute zubeschreiben.Erstellen Sie neue Attributbeschreibungen, indem Sie eine vorhandeneBeschreibung kopieren und Werte nach Bedarf ändern.Für jedes Attribut in Benutzer-, Gruppen- und Organisationsprofilen gibt es jeweils nurein ImsManagedObjectAttr-Element. Zum Beispiel kann einImsManagedObjectAttr-Element eine Benutzer-ID beschreiben.Ein ImsManagedObjectAttr-Element entspricht dem folgenden Code:Hinweis: Wenn Sie eine Oracle-Datenbank verwenden, beachten Sie beim Konfigurierenvon Attributen für verwaltete Objekte die folgenden Punkte:■Oracle-Datenbanken beachten standardmäßig die Groß-/Kleinschreibung. DieSchreibweise der Attribute und Tabellennamen in derVerzeichniskonfigurationsdatei muss mit der Schreibweise der Attribute in Oracleübereinstimmen.Geben Sie für Zeichenfolgedatentypen eine maximale Länge an, um zu verhindern,dass diese abgeschnitten werden. Um die Länge von Zeichenfolgen zu beschränken,können Sie eine Validierungsregel erstellen, durch die ein Fehler angezeigt wird,wenn ein Benutzer eine Zeichenfolge eingibt, die die maximale Länge überschreitet.Kapitel 4: Verwaltung relationaler Datenbanken 123

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiDie ImsManagedObjectAttr-Parameter lauten wie folgt.Hinweis: Die Parameter sind optional, wenn nichts anderes angegeben ist.physicalname(Erforderlich)Gibt den physischen Namen des Attributs an, und muss eines der folgenden Detailsenthalten:■Name und Verzeichnis, in dem der Wert gespeichert ist.Format: tablename.columnnameWenn zum Beispiel ein Attribut in der Spalte "id" der Tabelle "tblUsers"gespeichert ist, lautet der physische Name dieses Attributs wie folgt:tblUsers.idSie müssen jede Tabelle, die ein Attribut enthält, in einem Table-Element (sieheSeite 119) definieren.■Ein bekanntes Attribut.Ein bekanntes Attribut kann einen berechneten Wert darstellen. Sie könnenzum Beispiel ein bekanntes Attribut verwenden, um auf ein Attribut zuverweisen, das mithilfe eines benutzerdefinierten Vorgangs (siehe Seite 134)berechnet wurde.displayName(Erforderlich)Gibt einen eindeutigen Namen für das Attribut an.In der Benutzerkonsole wird der Anzeigename in der Liste der verfügbarenAttribute angezeigt, die einem Aufgabenfenster hinzugefügt werden können.Hinweis: Sie dürfen den Anzeigenamen eines Attributs in derVerzeichniskonfigurationsdatei (directory.xml) nicht ändern. Um den Namen desAttributs in einem Aufgabenfenster zu ändern, geben Sie in derAufgabenfensterdefinition eine Bezeichnung für das Attribut an. WeitereInformationen finden Sie im Administrationshandbuch.BeschreibungGibt die Beschreibung des Attributs an.124 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateivaluetypeGibt den Datentyp des Attributs an. Die folgenden Werte sind gültig:ZeichenfolgeIntegerNumberDatumDer Wert kann eine beliebige Zeichenfolge sein.Dies ist der Standardwert.Der Wert muss eine Ganzzahl sein.Hinweis: Der Parameter "Integer" unterstützt keine Dezimalzahlen.Der Wert muss eine Ganzzahl sein. Der Parameter "Number" unterstütztDezimalzahlen.Der Wert muss sich in ein gültiges Datum nach folgendem Muster auflösenlassen:ISODateMM/TT/JJJJDer Wert muss sich in ein gültiges Datum nach dem Muster JJJJ-MM-TTauflösen lassen.UnicenterDateDer Wert muss sich in ein gültiges Datum nach dem Muster JJJJJJJTTT auflösenlassen. Dabei gilt:JJJJJJJ ist eine siebenstellige Darstellung des Jahres beginnend mit drei Nullen.Beispiel: 0002008TTT ist eine dreistellige Darstellung des Tages beginnend mit Nullen, sofernerforderlich. Gültige Werte reichen von 001 bis 366.Wenn der Werttyp eines Attributs falsch ist, können CA IdentityMinder-Abfragenfehlschlagen.Um sicherzugehen, dass ein Attribut in der Datenbank korrekt gespeichert ist,können Sie ihm eine Validierungsregel zuordnen.requiredGibt wie folgt an, ob zum Angeben des Attributs ein Wert erforderlich ist:■■True - ErforderlichFalse - Optional (Standardeinstellung)Kapitel 4: Verwaltung relationaler Datenbanken 125

So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdateimulti-valuedGibt wie folgt an, ob das Attribut mehrere Werte haben kann:■■True - Ein Attribut kann mehrere Werte haben.False - Ein Attribut kann nur einen Einzelwert haben (Standardeinstellung).Das Gruppenmitgliedschaftsattribut in einem Benutzerprofil kann beispielsweisemehrere Werte haben, um die Gruppen zu speichern, denen ein Benutzer angehört.Um Attribute mit mehreren Werten in einer begrenzten Liste anstelle in einermehrzeiligen Tabelle zu speichern, müssen Sie das Trennzeichen im Parameter"delimiter" definieren.Stellen Sie sicher, dass die Anzahl der möglichen Werte und die Länge jedes Wertes,den die Spalte zulässt, ausreichend sind.Wichtig! Vergewissern Sie sich, dass das Gruppenmitgliedschaftsattribut in derBenutzerobjektdefinition mehrere Werte zulässt.wellknownGibt den Namen des bekannten Attributs an.Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder.Format: %ATTRIBUTENAME%Hinweis: Wenn ein benutzerdefinierter Vorgang einem Attribut zugeordnet wird,müssen Sie ein bekanntes Attribut (siehe Seite 79) angeben.maxlengthBestimmt die maximale Größe der Spalte.permissionGibt wie folgt an, ob der Wert eines Attributs in einem Aufgabenfenster geändertwerden kann:READONLYDer Wert wird angezeigt, kann aber nicht geändert werden.WRITEONCEDer Wert kann nicht mehr geändert werden, nachdem das Objekt erstelltwurde. Zum Beispiel kann eine Benutzer-ID nicht geändert werden, nachdemder Benutzer erstellt wurde.READWRITEDer Wert kann geändert werden (Standardeinstellung).126 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateihiddenGibt wie folgt an, ob ein Attribut in den CA IdentityMinder-Aufgabenfensternangezeigt wird:■■systemTrue - Das Attribut wird den Benutzern nicht angezeigt.False - Das Attribut wird den Benutzern angezeigt (Standardeinstellung).Logische Attribute verwenden verborgene Attribute.Hinweis: Weitere Informationen zu logischen Attributen finden Sie imProgrammierhandbuch für Java.Nur CA IdentityMinder verwendet die Attribute. Gibt wie folgt an, dass Benutzer dieAttribute in der Benutzerkonsole nicht ändern dürfen:■■True - Benutzer dürfen das Attribut nicht ändern. Das Attribut wird in derBenutzerkonsole nicht angezeigt.False - Benutzer können dieses Attribut ändern, und das Attribut kannAufgabenfenstern in der Benutzerkonsole hinzugefügt werden(Standardeinstellung).validationrulesetOrdnet dem Attribut einen Validierungsregelsatz zu.Stellen Sie sicher, dass der angegebene Validierungsregelsatz in einemValidationRuleSet-Element in der Verzeichniskonfigurationsdatei definiert ist.delimiterDefiniert das Zeichen, durch das die Werte getrennt werden, wenn mehrere Wertein einer Spalte gespeichert werden.Wichtig! Stellen Sie sicher, dass der Parameter "multivalued" auf "true" festgelegtist, damit der Parameter "delimiter" angewandt wird.Hinweis: Um zu verhindern, dass in der Benutzerkonsole vertrauliche Informationenangezeigt werden, wie Kennwörter oder Gehälter, können Sie den ParameterDataClassification (siehe Seite 74) angeben.Kapitel 4: Verwaltung relationaler Datenbanken 127

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiVerwalten vertraulicher AttributeCA IdentityMinder bietet die folgenden Methoden für die Verwaltung vertraulicherAttribute:■Datenklassifizierungen für AttributeMithilfe von Datenklassifizierungen können Sie Anzeige- undVerschlüsselungseigenschaften für Attribute in der Verzeichniskonfigurationsdatei(directory.xml) festlegen.Sie können Datenklassifizierungen, die vertrauliche Attribute verwalten, wie folgtdefinieren:– Zeigen Sie in den CA IdentityMinder-Aufgabenfenstern den Wert einesAttributs als Reihe von Sternchen an.Zum Beispiel können Sie Kennwörter als Sternchen anstelle von Klartextanzeigen.– Blenden Sie den Attributwert in den Fenstern "Gesendete Aufgaben anzeigen"aus.Mithilfe dieser Option können Sie Attribute ausblenden, damit Administratorensie nicht sehen. Zum Beispiel können Gehaltsdetails wie die Höhe des Gehaltsvor Administratoren verborgen werden, die den Aufgabenstatus in CAIdentityMinder anzeigen, aber keine Gehaltsdetails anzeigen müssen.■– Ignorieren Sie bestimmte Attribute, wenn Sie eine Kopie eines vorhandenenObjekts erstellen.– Verschlüsseln von AttributenFeldtypen in AufgabenprofilfensternWenn Sie ein Attribut nicht in der directory.xml-Datei ändern möchten, legen Siedie Anzeigeeigenschaft für das Attribut in den Bildschirmdefinitionen fest, in denendas vertrauliche Attribut angezeigt wird.Mithilfe des Feldtyps können Sie Attribute wie Kennwörter als Reihe von Sternchenanstelle von Klartext anzeigen.Hinweis: Weitere Informationen zum Feldtyp für vertrauliche Attribute finden Sie inden Abschnitten zu Feldtypen in der Benutzerkonsolen-Hilfe.128 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiDatenklassifizierungs-AttributeDas Datenklassifizierungs-Element bietet eine Methode für das Zuordnen vonzusätzlichen Eigenschaften zu einer Attributbeschreibung. Die Werte in diesem Elementlegen fest, wie CA IdentityMinder das Attribut verarbeitet. Dieses Element unterstütztdie folgenden Parameter:■■sensitiveHat zur Folge, dass CA IdentityMinder das Attribut als Reihe von Sternchen (*) inden Fenstern "Gesendete Aufgaben anzeigen" anzeigt. Dieser Parameterverhindert, dass alte und neue Werte für das Attribut in den Fenstern "GesendeteAufgaben anzeigen" als Klartext angezeigt werden.Wenn Sie eine Kopie eines vorhandenen Benutzers in der Benutzerkonsoleerstellen, verhindert dieser Parameter außerdem, dass das Attribut zum neuenBenutzer kopiert wird.vst_hideBlendet das Attribut im Fenster "Ereignisdetails" auf der Registerkarte "GesendeteAufgaben anzeigen" aus. Im Gegensatz zu vertraulichen Attributen, die alsSternchen angezeigt werden, werden vst_hidden-Attribute nicht angezeigt.Sie können diesen Parameter verwenden, damit Änderungen an einem Attribut,beispielsweise dem Gehalt, nicht im Fenster "Gesendete Aufgaben anzeigen"angezeigt werden.■ignore_on_copyHat zur Folge, dass CA IdentityMinder ein Attribut ignoriert, wenn ein Administratoreine Kopie eines Objekts in der Benutzerkonsole erstellt. Nehmen Sie zum Beispielan, dass Sie ignore_on_copy für das Kennwortattribut eines Benutzerobjektsangegeben haben. Wenn Sie ein Benutzerprofil kopieren, überträgt CAIdentityMinder das Kennwort des aktuellen Benutzers nicht auf das neueBenutzerprofil.Kapitel 4: Verwaltung relationaler Datenbanken 129

So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei■■AttributeLevelEncryptVerschlüsselt Attributwerte, wenn sie im Benutzerspeicher gespeichert werden.Wenn CA IdentityMinder für FIPS 140-2 aktiviert ist, verwendet CA IdentityMinderdie RC2-Verschlüsselung oder die FIPS 140-2-Verschlüsselung.Weitere Informationen zur Unterstützung von FIPS 140-2 in CA IdentityMinderfinden Sie im Konfigurationshandbuch.Die Attribute werden während Laufzeit als Klartext angezeigt.Hinweis: Um zu verhindern, dass Attribute in Fenstern als Klartext angezeigtwerden, können Sie ein Element zu verschlüsselten Attributen hinzufügen, das sieals vertrauliche Daten klassifiziert. Weitere Informationen finden Sie unterHinzufügen von Verschlüsselung auf Attributebene (siehe Seite 75).PreviouslyEncryptedHat zur Folge, dass CA IdentityMinder alle verschlüsselte Werte im Attribut erkenntund entschlüsselt, wenn das Objekt im Benutzerspeicher aufgerufen wird.Mithilfe dieser Datenklassifizierung können Sie alle zuvor verschlüsselten Werteentschlüsseln.Der Klartextwert wird im Speicher gespeichert, wenn Sie das Objekt speichern.130 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiKonfigurieren von Datenklassifizierungs-AttributenGehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei nach dem Attribut.2. Fügen Sie das folgende Attribut nach der Attributbeschreibung hinzu:parameterStellt einen der folgenden Parameter dar:sensitivevst_hideignore_on_copyAttributeLevelEncryptPreviouslyEncryptedEine Attributbeschreibung, die das Datenklassifizierungs-Attribut "vst_hide"enthält, entspricht zum Beispiel in etwa dem folgenden Code:Verschlüsselung auf AttributebeneSie können ein Attribut im Benutzerspeicher verschlüsseln, indem Sie eineAttributeLevelEncypt-Datenklassifizierung für dieses Attribut in derVerzeichniskonfigurationsdatei (directory.xml) angeben. Wenn die Verschlüsselung aufAttributebene aktiviert ist, verschlüsselt CA IdentityMinder den Wert dieses Attributs,bevor es im Benutzerspeicher gespeichert wird. Das Attribut wird in derBenutzerkonsole als Klartext angezeigt.Hinweis: Um zu verhindern, dass Attribute in Fenstern als Klartext angezeigt werden,können Sie ein Element zu verschlüsselten Attributen hinzufügen, das sie alsvertrauliche Daten klassifiziert. Weitere Informationen finden Sie unter Hinzufügen vonVerschlüsselung auf Attributebene (siehe Seite 75).Wenn die FIPS 140-2-Unterstützung aktiviert ist, wird das Attribut mithilfe derRC2-Verschlüsselung oder FIPS 140-2-Verschlüsselung verschlüsselt.Kapitel 4: Verwaltung relationaler Datenbanken 131

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiBeachten Sie Folgendes, bevor Sie die Verschlüsselung auf Attributebeneimplementieren:■■■■CA IdentityMinder kann bei einer Suche keine verschlüsselten Attribute finden.Nehmen Sie an, dass ein verschlüsseltes Attribut einer Mitglieds-, Admin- oderEigentümerrichtlinie bzw. einer Identitätsrichtlinie hinzugefügt wird. CAIdentityMinder kann die Richtlinie nicht richtig auflösen, weil eine Suche nach demAttribut nicht möglich ist.Ziehen Sie in Erwägung, das Attribut in der directory.xml-Datei aufsearchable="false" festzulegen, zum Beispiel:Wenn CA IdentityMinder einen gemeinsamen Benutzerspeicher und eingemeinsames Bereitstellungsverzeichnis verwendet, verschlüsseln Sie nicht dieBereitstellungsserver-Attribute.Aktivieren Sie AttributeLevelEncrypt nicht für Benutzerkennwörter in Umgebungen,die den folgenden Kriterien entsprechen:– Umfassen eine CA SiteMinder-Integration und– Speichern Benutzer in einer relationalen DatenbankWenn CA IdentityMinder mit CA SiteMinder integriert wird, führen verschlüsselteKennwörter zu Problemen, wenn neue Benutzer versuchen, sich anzumelden, undKennwörter als Klartext eingeben.Wenn Sie die Verschlüsselung auf Attributebene für einen Benutzerspeicheraktivieren, der von anderen Anwendungen als CA IdentityMinder verwendet wird,können die anderen Anwendungen das verschlüsselte Attribut nicht verwenden.Hinzufügen von Verschlüsselung auf AttributebeneNehmen Sie an, dass Sie eine Verschlüsselung auf Attributebene für ein CAIdentityMinder-Verzeichnis hinzugefügt haben. CA IdentityMinder verschlüsseltautomatisch vorhandene Klartext-Attributwerte, wenn Sie das Objekt speichern, dasdem Attribut zugeordnet ist. Wenn Sie zum Beispiel das Kennwortattribut verschlüsseln,wird beim Speichern des Benutzerprofils das Kennwort verschlüsselt.Hinweis: Um den Attributwert zu verschlüsseln, muss die Aufgabe, die Sie zumSpeichern des Objekts verwenden, das Attribut einschließen. Um das Kennwortattributim vorherigen Beispiel zu verschlüsseln, vergewissern Sie sich, dass das Kennwortfeldder Aufgabe hinzugefügt wird, die Sie zum Speichern des Objekts verwenden, zumBeispiel die Aufgabe "Benutzer ändern".Alle neuen Objekte werden mit verschlüsselten Werten im Benutzerspeicher erstellt.132 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiGehen Sie wie folgt vor:1. Führen Sie eine der folgenden Aufgaben aus:■■Erstellen Sie ein CA IdentityMinder-Verzeichnis.Aktualisieren Sie ein vorhandenes Verzeichnis, indem Sie dieVerzeichniseinstellungen exportieren.2. Fügen Sie dem Attribut, das Sie in der directory.xml-Datei verschlüsseln möchten,die folgenden Datenklassifizierungs-Attribute hinzu:AttributeLevelEncryptBehalten Sie den Attributwert im Benutzerspeicher in verschlüsselter Form bei.sensitive (optional)Blendet den Attributwert in CA IdentityMinder-Fenstern aus. Ein Kennwortwird zum Beispiel als Reihe von Sternchen (*) angezeigt.Beispiel:3. Wenn Sie ein CA IdentityMinder-Verzeichnis erstellt haben, ordnen Sie dasVerzeichnis einer Umgebung zu.4. Um zu erzwingen, dass CA IdentityMinder alle Werte sofort verschlüsselt, ändernSie alle Objekte mithilfe des Massendatenladers.Entfernen der Verschlüsselung auf AttributebeneHinweis: Weitere Informationen zum Massendatenlader finden Sie imAdministrationshandbuch.Wenn im CA IdentityMinder-Verzeichnis ein verschlüsseltes Attribut enthalten ist,dessen Wert als Klartext gespeichert ist, können Sie dieAttributeLevelEncrypt-Datenklassifizierung entfernen.Nachdem die Datenklassifizierung entfernt worden ist, werden die neuen Attributwertein CA IdentityMinder nicht mehr verschlüsselt. Vorhandene Werte werden entschlüsselt,wenn Sie das Objekt speichern, das dem Attribut zugeordnet wird.Hinweis: Um den Attributwert zu entschlüsseln, muss die Aufgabe, die Sie zumSpeichern des Objekts verwenden, das Attribut einschließen. Um zum Beispiel einKennwort für einen vorhandenen Benutzer zu entschlüsseln, speichern Sie dasBenutzerobjekt mit einer Aufgabe, die das Kennwortfeld enthält, beispielsweise dieAufgabe "Benutzer ändern".Kapitel 4: Verwaltung relationaler Datenbanken 133

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiUm zu erzwingen, dass CA IdentityMinder alle verschlüsselten Werte erkennt undentschlüsselt, die für das Attribut im Benutzerspeicher verbleiben, können Sie eineandere Datenklassifizierung, PreviouslyEncrypted, angeben. Der Klartextwert wird imBenutzerspeicher gespeichert, wenn Sie das Objekt speichern.Hinweis: Durch die Datenklassifizierung "PreviouslyEncrypted" wird bei jedem Ladendes Objekts der Verarbeitungsaufwand erhöht. Um Leistungsbeeinträchtigungen zuverhindern, können Sie die Datenklassifizierung "PreviouslyEncrypted" hinzufügen, jedesObjekt, dem dieses Attribut zugeordnet ist, laden und speichern und anschließend dieDatenklassifizierung wieder entfernen. Mit dieser Methode werden alle gespeichertenverschlüsselten Werte automatisch in gespeicherten Klartext konvertiert.Benutzerdefinierte VorgängeGehen Sie wie folgt vor:1. Exportieren Sie die Verzeichniseinstellungen für das entsprechende CAIdentityMinder-Verzeichnis.2. Entfernen Sie in der directory.xml-Datei die Datenklassifizierung"AttributeLevelEncrypt" für Attribute, die Sie entschlüsseln möchten.3. Wenn Sie erzwingen möchten, dass CA IdentityMinder zuvor verschlüsselte Werteentfernt, fügen Sie das Datenklassifizierungs-Attribut "PreviouslyEncrypted" hinzu.Beispiel:4. Um zu erzwingen, dass CA IdentityMinder alle Werte sofort entschlüsselt, ändernSie alle Objekte mithilfe des Massendatenladers.Hinweis: Weitere Informationen zum Massendatenlader finden Sie imAdministrationshandbuch.Sie können für bestimmte verwaltete Objekte benutzerdefinierte Vorgänge definieren,um die folgenden Aufgaben auszuführen:■■■Verwenden von gespeicherten ProzedurenOptimieren von Abfragen für die DatenbankstrukturAbrufen einer von der Datenbank generierten eindeutigen KennungBenutzerdefinierte Vorgänge werden nur auf Attribute angewandt.134 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiBeachten Sie beim Angeben benutzerdefinierter Vorgänge die folgenden Punkte:■■■■Benutzer, die benutzerdefinierte Vorgänge angeben, müssen mit SQL vertraut sein.Benutzerdefinierte Vorgänge werden von CA IdentityMinder nicht validiert. Bis zurLaufzeit werden Syntaxfehler und ungültige Abfragen nicht gemeldet.Wenn Sie einen benutzerdefinierten Vorgang für ein Attribut angeben, können Siedieses Attribut nicht in Suchfiltern in CA IdentityMinder-Aufgaben verwenden.Benutzerdefinierte Vorgänge müssen den XML-Standards entsprechen. Stellen SieSonderzeichen mithilfe von XML-Syntax dar. Geben Sie zum Beispiel ein einzelnesAnführungszeichen (’) als ' an.Um einen benutzerdefinierten Vorgang anzugeben, verwenden Sie dasOperation-Element.Operation-ElementDas Operation-Element definiert eine SQL-Anweisung, die eine benutzerdefinierteAbfrage ausführen oder eine gespeicherte Prozedur aufrufen kann, um ein Attribut zuerstellen, abzurufen, zu ändern oder zu löschen. Das Operation-Element ist einUnterelement des IMSManagedObjectAttr-Elements, wie im folgenden Beispieldargestellt:Die Parameter des Operation-Elements lauten wie folgt:nameGibt einen vordefinierten Namen für einen Vorgang an. Folgende Vorgänge sindgültig:■■■■■ErstellenGetFestlegenLöschenGetDBDer GetDB-Vorgang ruft während der Erstellung eine eindeutige Kennung ausder Datenbank ab, wenn die eindeutige Kennung durch die Datenbank odereine gespeicherte Prozedur generiert wird.Kapitel 4: Verwaltung relationaler Datenbanken 135

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateivalueDefiniert die SQL-Anweisung oder gespeicherte Prozedur, die ausgeführt werdensoll. Die folgenden Werte sind gültig:■■INSERTSELECT■■■UPDATEDELETECALL (für gespeicherte Prozeduren)Hinweis: Die Parameter sind optional, wenn nichts anderes angegeben ist.Das Operation-Element kann ein oder mehrere Parameter-Elemente enthalten.Parameter-ElementEin Parameter-Element gibt Werte an, die an die Abfrage übergeben werden. Wennmehrere Parameter-Elemente definiert werden, werden die Werte in der angegebenenReihenfolge an die Abfrage übergeben.Ein Parameter-Element erfordert den Parameter "name". Der Wert des Parameters"name" kann ein physisches Attribut oder ein bekanntes Attribut (siehe Seite 79) sein.Hinweis: CA IdentityMinder muss die Werte erkennen, die im Parameter-Element aneine Abfrage übergeben werden. Der Wert kann zum Beispiel ein physischer Name oderein bekanntes Attribut sein, das in den ImsManagedObjectAttr-Attributen definiert ist.Wenn Sie ein physisches Attribut angeben, beachten Sie die folgenden Punkte:■Verwenden Sie die folgende Syntax, um ein physisches Attribut anzugeben:tablename.columnname– tablenameGibt den Namen der Tabelle an, in der sich das Attribut befindet. Dieangegebene Tabelle muss die primäre Tabelle sein.– columnnameGibt den Namen der Spalte an, in der das Attribut gespeichert ist.■Das angegebene Attribut muss in der Datenbank vorhanden und in derVerzeichniskonfigurationsdatei definiert sein, wie in So ändern SieAttributbeschreibungen (siehe Seite 123) beschrieben.136 Konfigurationshandbuch

So beschreiben Sie eine Datenbank in einer VerzeichniskonfigurationsdateiBeispiel: Benutzerdefinierte Vorgänge für das Attribut "Business Number"Im folgenden Beispiel wird das Attribut "Business Number" durch den Aufruf einergespeicherten Prozedur generiert; es ist kein physisches Attribut in der Datenbank.

Verbindung zum BenutzerverzeichnisVerbindung zum BenutzerverzeichnisCA IdentityMinder stellt eine Verbindung zu einem Benutzerverzeichnis her, umInformationen, wie etwa zu Benutzer, Gruppe oder auch organisatorische Information,wie in der folgenden Darstellung angezeigt zu speichern:Ein neues Verzeichnis oder eine neue Datenbank sind nicht erforderlich. Allerdingsmüssen das bestehende Verzeichnis oder die Datenbank auf einem System vorhandensein, das einen vollständig qualifizierten Domänennamen besitzt (FQDN).Eine Liste der unterstützten Verzeichnis- und Datenbanktypen finden Sie über die CAIdentityMinder-Support-Matrix auf der CA Support-Website.Sie konfigurieren eine Verbindung zum Benutzerspeicher, wenn Sie ein CAIdentityMinder-Verzeichnis in der Management-Konsole erstellen.Wenn Sie die Verzeichniskonfiguration exportieren, nachdem Sie ein CAIdentityMinder-Verzeichnis erstellt haben, werden die Verbindungsinformationen zumBenutzerverzeichnis im Anbieter-Element der Verzeichniskonfigurationsdatei angezeigt.138 Konfigurationshandbuch

Verbindung zum BenutzerverzeichnisBeschreibung einer DatenbankverbindungProvider-ElementUm eine Datenbankverbindung zu beschreiben, verwenden Sie das Provider-Elementund dessen Unterelemente in der Datei "directory.xml".Hinweis: Wenn Sie ein CA IdentityMinder-Verzeichnis erstellen, müssen Sie keineVerzeichnisverbindungsinformationen in der Datei "directory.xml" angeben. DieVerbindungsinformationen werden im Assistenten für CA IdentityMinder-Verzeichnissein der Management-Konsole angegeben.Ändern Sie das Provider-Element nur für Aktualisierungen.Das Provider-Element beinhaltet die folgenden Unterelemente:JDBC (erforderlich)Gibt die JDBC-Datenquelle an, die beim Herstellen einer Verbindung mit demBenutzerspeicher verwendet wird. Geben Sie den JNDI-Namen an, den Sie beimErstellen der JDBC-Datenquelle (siehe Seite 107) eingegeben haben.Credentials (erforderlich)DSNGibt den Benutzernamen und das Kennwort für den Zugriff auf die Datenbank an.Gibt die ODBC-Datenquelle an, die beim Herstellen einer Verbindung mit demBenutzerspeicher verwendet wird.Hinweis: Dieses Unterelement wird nur bei Integration von CA IdentityMinder undSiteMinder angewandt. In CA IdentityMinder-Umgebungen, die SiteMinder nichteinschließen, wird dieses Unterelement ignoriert.SiteMinderQueryGibt die benutzerdefinierten Abfrageschemen für die Suche nachBenutzerinformationen in einer relationalen Datenbank an.Hinweis: Dieses Unterelement wird nur bei Integration von CA IdentityMinder undSiteMinder angewandt. In CA IdentityMinder-Umgebungen, die SiteMinder nichteinschließen, wird dieses Unterelement ignoriert.Kapitel 4: Verwaltung relationaler Datenbanken 139

Verbindung zum BenutzerverzeichnisEine abgeschlossene Datenbankverbindung entspricht dem folgenden Beispiel:@SMDirPasswordDie Attribute für das Provider-Element lauten wie folgt:typeGibt den Typ der Datenbank an. Geben Sie für Microsoft SQL Server- undOracle-Datenbanken "RDB" an (Standardeinstellung).userdirectoryDatenbankanmeldeinformationenGibt den Namen der Benutzerverzeichnisverbindung an. Dieser Parameterentspricht dem Namen des Verbindungsobjekts, den Sie während der Erstellung desVerzeichnisses angegeben haben.Wenn CA IdentityMinder und SiteMinder für Authentifizierungszwecke integriertsind, wird in SiteMinder eine Benutzerverzeichnisverbindung mit dem Namenerstellt, den Sie während der Installation für das Verbindungsobjekt angegebenhaben. Wenn Sie eine Verbindung mit einem vorhandenenSiteMinder-Benutzerverzeichnis herstellen möchten, geben Sie an derEingabeaufforderung für das Verbindungsobjekt den Namen diesesBenutzerverzeichnisses ein. CA IdentityMinder fügt den angegebenen Namen inden Parameter "userdirectory" ein.Wenn CA IdentityMinder und SiteMinder nicht integriert sind, kann der Wert desParameters "userdirectory" ein beliebiger Name sein, den Sie für dieJDBC-Verbindung mit dem Benutzerspeicher festlegen.Hinweis: Geben Sie keinen Namen für die Benutzerverzeichnisverbindung in derDatei "directory.xml" an. CA IdentityMinder fordert Sie während Erstellung desVerzeichnisses auf, den Namen anzugeben.Um eine Verbindung mit der Datenbank herstellen zu können, muss CA IdentityMindergültige Anmeldeinformationen an die Datenquelle übergeben. DieAnmeldeinformationen werden im Element "Credentials" definiert, das dem folgendenBeispiel entspricht:"MyPassword"140 Konfigurationshandbuch

Verbindung zum BenutzerverzeichnisWenn Sie im Credentials-Element kein Kennwort angeben und versuchen, das CAIdentityMinder-Verzeichnis in der Management-Konsole zu erstellen, werden dieKennwortinformationen angefordert.Hinweis: Es wird empfohlen, das Kennwort in der Management-Konsole anzugeben.Wenn Sie das Kennwort in der Management-Konsole angeben, wird es von CAIdentityMinder verschlüsselt. Andernfalls sollten Sie das Kennwort mit demKennwort-Tool, das zusammen mit CA IdentityMinder installiert wird, verschlüsseln,sodass dieses nicht als unverschlüsselter Text angezeigt wird. UnterSiteMinder-Kennwörter finden Sie Anweisungen zur Verwendung des Kennworttools.Hinweis: Sie können nur einen Satz von Anmeldeinformationen angeben. Wenn Siemehrere Datenquellen definieren, müssen die angegebenen Anmeldeinformationen füralle Datenquellen gelten.Die Parameter für Anmeldeinformationen lauten wie folgt:userData Source Name (DSN)Definiert den Anmelde-ID für ein Konto, das auf die Datenquelle zugreifen kann.Geben Sie keinen Wert für den Parameter "user" in der Datei "directory.xml" an. CAIdentityMinder fordert Sie beim Erstellen des CA IdentityMinder-Verzeichnisses inder Management-Konsole zur Eingabe der Anmelde-ID auf.cleartextGibt an, ob das Kennwort in der Datei "directory.xml" als unverschlüsselter Textangezeigt wird:■■True - Das Kennwort wird als unverschlüsselter Text angezeigt.False - Das Kennwort wird verschlüsselt (Standardeinstellung).Hinweis: Diese Parameter sind optional.Das DSN-Element in der Datei "directory.xml" hat einen Parameter - den Namen derODBC-Datenquelle, die CA IdentityMinder zum Herstellen einer Verbindung mit derDatenbank verwendet. Der Wert des Parameters "name" muss mit dem Namen einervorhandenen Datenquelle übereinstimmen.Hinweis: Dieses Element wird nur bei Integration von CA IdentityMinder und SiteMinderangewandt. Wenn CA IdentityMinder und SiteMinder nicht integriert sind, wird diesesElement ignoriert.Wenn der Wert des Namensparameters "@SmDirDSN" lautet, müssen Sie keinenDSN-Namen in der Datei "directory.xml" angeben. CA IdentityMinder fordert Sie beimImport der Datei "directory.xml" auf, den DSN-Namen anzugeben.Kapitel 4: Verwaltung relationaler Datenbanken 141

Verbindung zum BenutzerverzeichnisDefinieren Sie mehrere DSN-Elemente, um ein Failover zu konfigurieren. Wenn dieprimäre Datenquelle auf eine Anfrage nicht reagiert, wird die Anfrage von der nächstendefinierten Datenquelle beantwortet.Nehmen Sie zum Beispiel an, dass Sie das Failover wie folgt konfiguriert haben:CA IdentityMinder verwendet die Datenquelle DSN1, um eine Verbindung mit derDatenbank herzustellen. Wenn ein Problem mit DSN1 besteht, versucht CAIdentityMinder, mithilfe von DSN2 eine Verbindung mit der Datenbank herzustellen.Hinweis: Die Anmeldeinformationen, die Sie im Credentials-Element (siehe Seite 140)angeben, müssen für alle definierten DSNs gelten.SQL-AbfrageschemenCA IdentityMinder verwendet Abfrageschemen, um Benutzer und Gruppeninformationin einer relationalen Datenbank zu suchen.Hinweis: Dieses Element wird nur bei Integration von CA IdentityMinder und SiteMinderangewandt. In Umgebungen, die SiteMinder nicht einschließen, wird dieser Parameterignoriert.Wenn Sie ein CA IdentityMinder-Verzeichnis in der Management-Konsole erstellen,generiert CA IdentityMinder einen Satz von Abfrageschemen, die auf den erforderlichenAbfrageschemen in SiteMinder basieren. (Ausführliche Informationen überSiteMinder-Abfrageschemen finden Sie im CA SiteMinder Web Access Manager PolicyServer-Konfigurationshandbuch.) Die Tabellen- und Spaltennamen in denSiteMinder-Abfrageschemen werden durch die Daten ersetzt, die Sie in derVerzeichniskonfigurationsdatei angeben.So definieren Sie benutzerdefinierte AbfrageschemenAbfrageschemen werden in SiteMinderQuery-Elementen in derVerzeichniskonfigurationsdatei definiert. Ein SiteMinderQuery-Element entspricht demfolgenden Beispiel:Hinweis: In der Beispielabfrage ist ' die XML-Syntax für das einzelneAnführungszeichen (’).Das SiteMinderQuery-Element gilt nur, wenn CA IdentityMinder und SiteMinderintegriert sind.142 Konfigurationshandbuch

Verbindung zum BenutzerverzeichnisDie Parameter für Abfrageschemen lauten wie folgt:nameAbfrageGibt den neudefinierten Namen eines SiteMinder-Abfrageschemas an.Ändern Sie diesen Wert nicht.Gibt die SQL-Anweisung oder gespeicherte Prozedur an, die ausgeführt werden soll.Die folgenden Werte sind gültig:■■INSERTSELECT■■■UPDATEDELETECALL (für gespeicherte Prozeduren)Ändern der StandardabfrageschemenHinweis: Diese Parameter sind für das SiteMinderQuery-Element erforderlich.Bevor Sie Abfrageschemen anpassen, führen Sie die folgenden Schritte aus:■■Machen Sie sich mit den Standardabfrageschemen vertraut.Hinweis: Weitere Informationen zu den SQL-Abfrageschemen finden Sie im CASiteMinder Web Access Manager Policy Server-Konfigurationshandbuch.Sammeln Sie umfassende Erfahrungen mit der Entwicklung von SQL-Abfragen.Führen Sie das folgende Verfahren aus, um die Standardabfrageschemen zu ändern.Gehen Sie wie folgt vor:1. Exportieren Sie die Verzeichniskonfigurationsdatei.CA IdentityMinder generiert eine Verzeichniskonfigurationsdatei, die alle aktuellenEinstellungen für das CA IdentityMinder-Verzeichnis enthält, einschließlich dergenerierten Abfrageschemen.2. Speichern Sie die Verzeichniskonfigurationsdatei.Hinweis: Wenn Sie eine Sicherung der ursprünglichenVerzeichniskonfigurationsdatei erstellen möchten, speichern Sie die Datei untereinem anderen Namen oder in einem anderen Verzeichnis, bevor Sie dieexportierte Datei speichern.3. Suchen Sie das von CA IdentityMinder generierte Abfrageschema, das Sie ändernmöchten.Kapitel 4: Verwaltung relationaler Datenbanken 143

Bekannte Attribute für eine relationale Datenbank4. Geben Sie in den Abfrageparameter das Abfrageschema oder die gespeicherteProzedur ein, das bzw. die ausgeführt werden soll.Hinweis: Ändern Sie nicht den Abfragenamen.5. Speichern Sie die Verzeichniskonfigurationsdatei, nachdem Sie die erforderlichenÄnderungen vorgenommen haben.Importieren Sie die Datei, um das CA IdentityMinder-Verzeichnis zu aktualisieren(siehe Seite 188).Bekannte Attribute für eine relationale DatenbankBekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder. Sie werdendurch die folgende Syntax gekennzeichnet:%ATTRIBUTENAME%In dieser Syntax muss ATTRIBUTENAME großgeschrieben werden.Ein bekanntes Attribut wird mithilfe einer Attributbeschreibung (siehe Seite 123) einemphysischem Attribut zugeordnet.In der folgenden Attributbeschreibung wird das Attribut "tblUsers.password" dembekannten Attribut %PASSWORD% zugeordnet, sodass CA IdentityMinder den Wert in"tblUsers.password" als ein Kennwort erkennt:Einige bekannte Attribute sind erforderlich; während andere optional sind.144 Konfigurationshandbuch

Bekannte Attribute für eine relationale DatenbankBekannte Attribute für BenutzerDie folgende Liste enthält bekannte Attribute für Benutzer:%ADMIN_ROLE_CONSTRAINT%Enthält eine Liste der Admin-Rollen (siehe Seite 148), die dem Administrator (sieheSeite 148) zugeordnet sind.Das physische Attribut, das %ADMIN_ROLE_CONSTRAINT% zugeordnet ist, mussmehrere Werte zulassen, sodass es verschiedene Rollen aufnehmen kann.Es wird empfohlen, das Attribut, das %ADMIN_ROLE_CONSTRAINT% zugeordnet ist,zu indizieren.%CERTIFICATION_STATUS%(Für die Verwendung der Benutzerzertifizierungsfunktion erforderlich.)Enthält den Zertifizierungsstatus eines Benutzers.Hinweis: Weitere Informationen zur Benutzerzertifizierung finden Sie imAdministrationshandbuch.%DELEGATORS%Wird einer Liste mit Benutzern zugeordnet, die Arbeitselemente an den aktuellenBenutzer delegiert haben.Dieses Attribut ist für die Verwendung der Delegierung erforderlich. Das physischeAttribut, das %DELEGATORS% zugeordnet ist, muss mehrere Werte umfassen, undes muss Zeichenfolgen enthalten können.Wichtig! Eine direkte Bearbeitung dieses Felds mit CA IdentityMinder-Aufgabenoder einem externen Tool hat beträchtliche Auswirkungen auf die Sicherheit.%EMAIL%(Für die Aktivierung der E-Mail-Benachrichtigungsfunktion erforderlich.)Speichert die E-Mail-Adresse eines Benutzers.%ENABLED_STATE%(Erforderlich)Verfolgt den Status eines Benutzers.Hinweis: Der Datentyp des physischen Attributs, das %ENABLED_STATE%zugeordnet ist, muss "String" sein.%FIRST_NAME%Enthält den Vornamen eines Benutzers.%FULL_NAME%(Erforderlich)Enthält den Vor- und Nachnamen eines Benutzers.Kapitel 4: Verwaltung relationaler Datenbanken 145

Bekannte Attribute für eine relationale Datenbank%IDENTITY_POLICY%Enthält die Liste der Identitätsrichtlinien, die auf ein Benutzerkonto angewandtwurden.CA IdentityMinder verwendet dieses Attribut, um zu bestimmen, ob eineIdentitätsrichtlinie auf einen Benutzer angewandt werden muss. Wenn für dieRichtlinie die Einstellung "Apply Once" (Einmal übernehmen) aktiviert ist und dieRichtlinie im Attribut %IDENTITY_POLICY% aufgeführt ist, wendet CAIdentityMinder die Änderungen in der Richtlinie nicht auf den Benutzer an.Hinweis: Weitere Informationen zu Identitätsrichtlinien finden Sie imAdministrationshandbuch.%LAST_CERTIFIED_DATE%(Für die Verwendung der Benutzerzertifizierungsfunktion erforderlich.)Enthält das Datum, an dem die Rolle eines Benutzers zertifiziert wurde.Hinweis: Weitere Informationen zur Benutzerzertifizierung finden Sie imAdministrationshandbuch.%LAST_NAME%Enthält den Nachnamen eines Benutzers.%ORG_MEMBERSHIP%(Bei Unterstützung von Organisationen erforderlich.)Enthält die eindeutige Kennung der Organisation, der der Benutzer angehört.%ORG_MEMBERSHIP_NAME%(Bei Unterstützung von Organisationen erforderlich.)Enthält den benutzerfreundlichen Namen der Organisation, der der Benutzerangehört.%PASSWORD%Enthält ein Benutzerkennwort.Hinweis: Der Wert des Attributs %PASSWORD% wird in den CAIdentityMinder-Fenstern immer als eine Folge von Sternchen (*) angezeigt, sogarwenn für das Attribut oder Feld nicht festgelegt wurde, dass Kennwörter verborgenwerden sollen.%PASSWORD_DATA%(Für die Unterstützung von Kennwortrichtlinien erforderlich.)Gibt das Attribut an, das Kennwortrichtlinieninformationen verfolgt.Hinweis: Der Wert des Attributs %PASSWORD_DATA% wird in den CAIdentityMinder-Fenstern immer als eine Folge von Sternchen (*) angezeigt, sogarwenn für das Attribut oder Feld nicht festgelegt wurde, dass Kennwörter verborgenwerden sollen.146 Konfigurationshandbuch

Bekannte Attribute für eine relationale Datenbank%PASSWORD_HINT%(Erforderlich)Enthält eine vom Benutzer angegebene Frage und Antwort. DieFrage-/Antwortpaare werden im Fall eines vergessenen Kennworts verwendet.Hinweis: Der Wert des Attributs %PASSWORD_HINT% wird in den CAIdentityMinder-Fenstern immer als eine Folge von Sternchen (*) angezeigt, sogarwenn für das Attribut oder Feld nicht festgelegt wurde, dass Kennwörter verborgenwerden sollen.%USER_ID%(Erforderlich)Speichert die Anmelde-ID eines Benutzers.Bekannte Attribute für GruppenDie folgende Liste enthält bekannte Attribute für Gruppen:%GROUP_ADMIN%Enthält die Administratoren einer Gruppe.Hinweis: Das Attribut %GROUP_ADMIN% muss mehrere Werte zulassen.%GROUP_DESC%Enthält die Beschreibung einer Gruppe.%GROUP_ID%Enthält die eindeutige Kennung einer Gruppe.%GROUP_MEMBERSHIP%(Erforderlich)Enthält eine Liste der Mitglieder einer Gruppe.Hinweis: Das Attribut %GROUP_MEMBERSHIP% muss mehrere Werte zulassen.%GROUP_NAME%(Erforderlich)Speichert den Namen einer Gruppe.%ORG_MEMBERSHIP%(Bei Unterstützung von Organisationen erforderlich.)Enthält die eindeutige Kennung der Organisation, der die Gruppe angehört.Kapitel 4: Verwaltung relationaler Datenbanken 147

Bekannte Attribute für eine relationale Datenbank%ORG_MEMBERSHIP_NAME%(Bei Unterstützung von Organisationen erforderlich.)Enthält den benutzerfreundlichen Namen der Organisation, der die Gruppeangehört.%SELF_SUBSCRIBING%Bestimmt, ob Benutzer eine Gruppe abonnieren können.Attribut %Admin_Role_Constraint%Wenn Sie eine Admin-Rolle erstellen, geben Sie eine oder mehrere Regeln für dieRollenmitgliedschaft an. Die Rolle wird allen Benutzern erteilt, die dieMitgliedschaftsregeln erfüllen. Wenn zum Beispiel die Mitgliedschaftsregel für die Rolledes Benutzer-Managers "title=User Manager" lautet, wird Benutzern mit dem Titel"User Manager" die Rolle "User Manager" erteilt.Hinweis: Weitere Informationen zu Regeln finden Sie im Administrationshandbuch.%ADMIN_ROLE_CONSTRAINT% ermöglicht es Ihnen, ein Profilattribut anzugeben, indem alle Admin-Rollen eines Administrators gespeichert werden.So verwenden Sie das Attribut %ADMIN_ROLE_CONSTRAINT%Um %ADMIN_ROLE_CONSTRAINT% als Einschränkung für alle Admin-Rollen zuverwenden, führen Sie die folgenden Schritte aus:■Ordnen Sie das bekannte Attribut %ADMIN_ROLE_CONSTRAINT% einemmehrwertigen Profilattribut zu, um mehrere Rollen zu berücksichtigen.■Wenn Sie eine Admin-Rolle in der CA IdentityMinder-Benutzeroberflächekonfigurieren, kann das folgende Szenario eine Einschränkung darstellen:Die Admin-Rollen stimmen mit dem Rollennamen überein.role nameDefiniert den Namen der Rolle, für die Sie die Einschränkung angeben.Beispiel: Admin-Rollen = User ManagerHinweis: "Admin-Rollen" ist der Standardanzeigename für das Attribut%ADMIN_ROLE_CONSTRAINT%.148 Konfigurationshandbuch

So konfigurieren Sie selbstabonnierende GruppenKonfigurieren von bekannten AttributenFühren Sie zum Konfigurieren bekannter Attribute die folgenden Schritte aus.Gehen Sie wie folgt vor:1. Suchen Sie in der Verzeichniskonfigurationsdatei nach dem folgenden Zeichen:##Erforderliche Werte werden durch zwei Rautenzeichen (##) gekennzeichnet.2. Ersetzen Sie den Wert, der mit ## beginnt, durch den physischen Namen desgewünschten Attributs, so wie es in der Datenbank enthalten ist. Geben Sie denAttributnamen im folgenden Format an:tablename.columnnameWenn zum Beispiel das Kennwortattribut in der Spalte "password" der Tabelle"tblUsers" gespeichert ist, geben Sie dies wie folgt an:tblUsers.password3. Wiederholen Sie die Schritte 1 und 2, bis Sie alle erforderlichen Werte ersetzt unddie gewünschten optionalen Werte eingefügt haben.4. Ordnen Sie optional die bekannten Attribute physischen Attributen zu, sofernerforderlich.5. Speichern Sie die Verzeichniskonfigurationsdatei.So konfigurieren Sie selbstabonnierende GruppenUm Self-Service-Benutzern den Beitritt zu Gruppen zu ermöglichen, können Sie in derVerzeichniskonfigurationsdatei die Unterstützung selbstabonnierender Gruppenkonfigurieren.Gehen Sie wie folgt vor:1. Fügen Sie im Abschnitt für selbstabonnierende Gruppen das Element"SelfSubscribingGroups" wie folgt hinzu:Kapitel 4: Verwaltung relationaler Datenbanken 149

So konfigurieren Sie selbstabonnierende Gruppen2. Geben Sie Werte für die folgenden Parameter ein:typeGibt an, wo CA IdentityMinder nach selbstabonnierenden Gruppen sucht. Diefolgenden Werte sind gültig:■■NONE - CA IdentityMinder sucht nicht nach Gruppen. Geben Sie NONE an,wenn Sie verhindern möchten, dass Benutzer selbst Gruppen abonnieren.ALL - CA IdentityMinder durchsucht alle Gruppen im Benutzerspeicher.Geben Sie ALL an, wenn Benutzer alle Gruppen abonnieren können.■ INDICATEDORG (nur für Umgebungen, die Organisationen unterstützen) -CA IdentityMinder sucht nach selbstabonnierenden Gruppen in derOrganisation eines Benutzers und deren Unterorganisationen. Wenn zumBeispiel das Profil eines Benutzers der Marketingorganisation angehört,sucht CA IdentityMinder nach selbstabonnierenden Gruppen in derMarketingorganisation und in allen Unterorganisationen.■SPECIFICORG (nur für Umgebungen, die Organisationen unterstützen) - CAIdentityMinder sucht in einer bestimmten Organisation. Geben Sie dieeindeutige Kennung der jeweiligen Organisation im Parameter "org" an.orgDefiniert die eindeutige Kennung der Organisation, in der CA IdentityMindernach selbstabonnierenden Gruppen sucht.Hinweis: Stellen Sie sicher, dass Sie den Parameter "org" angeben, wenn"type=SPECIFICORG" festgelegt ist.3. Starten Sie den SiteMinder-Richtlinienserver neu, wenn Sie eines der folgendenElemente geändert haben:■■Den Parameter "type" in oder von SPECIFICORGDen Wert des Parameters "org"Nachdem Sie die Unterstützung für selbstabonnierende Gruppen im CAIdentityMinder-Verzeichnis konfiguriert haben, können CAIdentityMinder-Administratoren angeben, welche Gruppen in der Benutzerkonsoleselbstabonnierend sind.Wenn sich ein Benutzer anmeldet, sucht CA IdentityMinder nach Gruppen in denangegebenen Organisationen und zeigt dem Benutzer die selbstabonnierenden Gruppenan.150 Konfigurationshandbuch

ValidierungsregelnValidierungsregelnEine Validierungsregel setzt Anforderungen an Daten durch, die ein Benutzer in ein Felddes Aufgabenfensters eingibt. Die Anforderungen können einen Datentyp oder einFormat durchsetzen oder sicherstellen, dass die Daten im Kontext der anderen Daten imAufgabenfenster gültig sind.Validierungsregeln sind Profilattributen zugeordnet. Bevor eine Aufgabe verarbeitetwird, stellt CA IdentityMinder sicher, dass die für ein Profilattribut eingegebenen Datenalle zugeordneten Validierungsregeln erfüllen.Sie können Validierungsregeln definieren und sie Profilattributen in derVerzeichniskonfigurationsdatei zuordnen.OrganisationsverwaltungFür relationale Datenbanken bietet CA IdentityMinder die Option, Organisationen zuverwalten. Wenn Ihre Datenbank Organisationen unterstützt, gilt Folgendes:■■Organisationen haben eine hierarchische Struktur.Alle verwalteten Objekte, wie Benutzer, Gruppen und andere Organisationen,gehören einer Organisation an.■Wenn Sie eine Organisation löschen, werden alle Objekte, die dieser Organisationangehören, ebenfalls gelöscht.Sie konfigurieren das Organisationsobjekt auf die gleiche Weise wie Benutzer- undGruppenobjekte, jedoch mit einigen zusätzlichen Schritten.So richten Sie die Unterstützung von Organisationen einFühren Sie die folgenden Schritte aus, um die Unterstützung von Organisationeneinzurichten:1. Konfigurieren Sie die Unterstützung von Organisationen in der Datenbank (sieheSeite 152).2. Beschreiben Sie das Organisationsobjekt in ImsManagedObject (siehe Seite 118).Stellen Sie sicher, dass Sie die Unterelemente "Table" und "UniqueIdentifier"konfigurieren.3. Konfigurieren Sie die übergeordnete Organisation (siehe Seite 152).4. Beschreiben Sie die Attribute (siehe Seite 123), die eine Organisation ausmachen.5. Definieren Sie die bekannten Attribute für das Organisationsobjekt (sieheSeite 153).Kapitel 4: Verwaltung relationaler Datenbanken 151

OrganisationsverwaltungKonfigurieren der Unterstützung von Organisationen in der DatenbankGehen Sie wie folgt vor:1. Ö ffnen Sie eines der folgenden SQL-Skripte in einem Editor:■ Microsoft SQL Server-Datenbanken:ims_mssql_rdb.sql■Oracle-Datenbanken:ims_oracle_rdb.sqlDiese Dateien sind in den folgenden Verzeichnissen gespeichert:admin_tools\directoryTemplates\RelationalDatabaseadmin_tools bezieht sich auf das Installationsverzeichnis derVerwaltungstools, die standardmäßig in einem der folgendenVerzeichnisse installiert werden:Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools2. Suchen Sie im SQL-Skript nach , und ersetzen Sieden Eintrag durch den Namen der primären Tabelle für das Organisationsobjekt.Speichern Sie das SQL-Skript.3. Führen Sie das SQL-Skript in der Datenbank aus.Spezifikation der StammorganisationDie Stammorganisation dient als übergeordnete Organisation im Verzeichnis. AlleOrganisationen beziehen sich auf diese Stammorganisation.In der folgenden Abbildung ist "NeteAuto" die Stammorganisation. Die anderenOrganisationen sind Unterorganisationen von "NeteAuto":NeteAutoDealerSupplierEmployeeEuropeUSA152 Konfigurationshandbuch

OrganisationsverwaltungEine vollständige Definition der Stammorganisation entspricht dem folgenden Beispiel:Nachdem Sie die grundlegenden Informationen für das Organisationsobjekt definierthaben, einschließlich der Tabellen, die das Organisationsprofil bilden, und dereindeutige Kennung des Organisationsobjekts, geben Sie die Stammorganisation in derDatei "directory.xml" an:■Definieren Sie im Parameter "value" des RootOrg-Elements die Abfrage, die CAIdentityMinder zum Abrufen der Stammorganisation verwendet, wie im folgendenBeispiel dargestellt:■Geben Sie in den Parameter "name" des Result-Elements die eindeutige Kennungder Organisation ein, wie im folgenden Beispiel dargestellt:Hinweis: Der Wert des Parameters "name" muss die eindeutige Kennung desOrganisationsobjekts sein.Bekannte Attribute für OrganisationenDefinieren Sie bekannte Attribute für die Attribute in einem Organisationsprofil, wieunter Bekannte Attribute (siehe Seite 79) beschrieben.Die erforderlichen und optionalen bekannten Attribute für Organisationen lauten wiefolgt:%ORG_DESCR%Enthält die Beschreibung einer Organisation.%ORG_MEMBERSHIP%(Erforderlich)Enthält die übergeordnete Organisation einer Organisation.Hinweis: Weitere Informationen zum Attribut %ORG_MEMBERSHIP% finden Sieunter "So definieren Sie die Organisationshierarchie".%ORG_MEMBERSHIP_NAME%(Erforderlich)Enthält den benutzerfreundlichen Namen der übergeordneten Organisation (sieheSeite 154) einer Organisation.Kapitel 4: Verwaltung relationaler Datenbanken 153

So verbessern Sie die Leistung von Verzeichnissuchen%ORG_NAME%(Erforderlich)Enthält den Namen der Organisation.So definieren Sie die OrganisationshierarchieOrganisationen haben in CA IdentityMinder eine hierarchische Struktur, bestehend auseiner Stammorganisation und Unterorganisationen. Dabei können dieUnterorganisationen weitere Unterorganisationen haben.Jede Organisation mit Ausnahme der Stammorganisation hat eine übergeordneteOrganisation. In der folgenden Abbildung ist zum Beispiel "Dealer" die übergeordneteOrganisation für die Organisationen "USA" und "Europe":NeteAutoDealerSupplierEmployeeEuropeUSADie eindeutige Kennung der übergeordneten Organisation wird in einem Attribut imProfil der Organisation gespeichert. Mithilfe der Informationen in diesem Attribut kannCA IdentityMinder die Organisationshierarchie erstellen.Um das Attribut anzugeben, in dem die übergeordnete Organisation gespeichert ist,verwenden Sie die bekannten Attribute %ORG_MEMBERSHIP% und%ORG_MEMBERSHIP_NAME%, wobei das physische Attribut wie folgt den Namen derübergeordneten Organisation in einer Attributbeschreibung enthält:So verbessern Sie die Leistung von VerzeichnissuchenUm die Leistung von Verzeichnissuchen nach Benutzern, Organisationen und Gruppenzu verbessern, führen Sie die folgenden Schritte aus:■Indizieren Sie die Attribute, die Administratoren in Suchanfragen angeben können.154 Konfigurationshandbuch

So verbessern Sie die Leistung von Verzeichnissuchen■■Ü berschreiben Sie die Standardeinstellung für das Verzeichniszeitlimit, indem SieWerte für die Zeitlimitsuchparameter in einer Verzeichniskonfigurationsdatei(directory.xml) festlegen.Optimieren Sie das Benutzerverzeichnis. Weitere Informationen finden Sie in derDokumentation zur verwendeten Datenbank.Konfigurieren Sie datenbankspezifische Optionen in der ODBC-Datenquelle. WeitereInformationen finden Sie in der Dokumentation zur Datenquelle.So verbessern Sie die Leistung von großen SuchenWenn CA IdentityMinder einen großen Benutzerspeicher verwaltet, reicht bei Suchen,die viele Ergebnisse zurückgeben, der Systemspeicher möglicherweise nicht aus.Die beiden folgenden Einstellungen bestimmen, wie CA IdentityMinder große Suchenverarbeitet:■■Maximale ZeilenanzahlGibt die maximale Anzahl von Ergebnissen an, die CA IdentityMinder beimDurchsuchen eines Benutzerverzeichnisses zurückgeben kann. Wenn die Anzahl vonErgebnissen das Limit überschreitet, wird ein Fehler angezeigt.SeitengrößeGibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Hinweis: Wenn der Benutzerspeicher kein Paging unterstützt und ein Wert für"maxrows" angegeben wird, verwendet CA IdentityMinder nur den Wert für"maxrows" zum Steuern der Suchgröße.Kapitel 4: Verwaltung relationaler Datenbanken 155

So verbessern Sie die Leistung von VerzeichnissuchenSie können die maximale Zeilenanzahl und Seitengröße an den folgenden Positionenkonfigurieren:■■BenutzerspeicherIn den meisten Benutzerspeichern und Datenbanken können Sie Beschränkungenfür die Suche konfigurieren.Hinweis: Weitere Informationen finden Sie in der Dokumentation zu demverwendeten Benutzerspeicher oder zu der verwendeten Datenbank.CA IdentityMinder-VerzeichnisSie können das DirectorySearch-Element (siehe Seite 58) in der verwendetenVerzeichniskonfigurationsdatei (directory.xml) konfigurieren, um das CAIdentityMinder-Verzeichnis zu erstellen.Standardmäßig ist der Wert für die maximale Zeilenanzahl und Seitengröße fürvorhandene Verzeichnisse unbegrenzt. Für neue Verzeichnisse ist der Wert für diemaximale Zeilenanzahl unbegrenzt und der Wert für die Seitengröße ist 2000.■■Definition für verwaltete ObjekteUm die maximale Zeilenanzahl und Seitengröße für einen einzelnen Objekttypanstatt für ein ganzes Verzeichnis festzulegen, konfigurieren Sie die Definition fürverwaltete Objekte (siehe Seite 61) in der Datei "directory.xml", die Sie zumErstellen des CA IdentityMinder-Verzeichnisses verwenden.Das Festlegen von Beschränkungen für einen verwalteten Objekttyp ermöglicht esIhnen, Anpassungen basierend auf den Geschäftsanforderungen vorzunehmen.Zum Beispiel haben die meisten Unternehmen mehr Benutzer als Gruppen. DieseUnternehmen können Beschränkungen nur für Benutzerobjektsuchen festlegen.AufgabensuchfensterSie können die Anzahl der Suchergebnisse steuern, die Benutzern in den Such- undListenfenstern der Benutzerkonsole angezeigt werden. Wenn die Ergebnisanzahl diemaximale Anzahl von Ergebnissen pro Seite überschreitet, die für die Aufgabedefiniert ist, werden den Benutzer Links zu weiteren Ergebnisseiten angezeigt.Diese Einstellung wirkt sich nicht auf die Anzahl der Ergebnisse aus, die von einerSuche zurückgegeben werden.Hinweis: Weitere Informationen zum Festlegen der Seitengröße in Such- undListenfenstern finden Sie im Administrationshandbuch.Wenn die maximale Zeilenanzahl und Seitengröße an mehreren Positionen definiertwerden, gilt die jeweils spezifischste Einstellung. Zum Beispiel haben Einstellungen fürverwaltete Objekte Vorrang vor Einstellungen auf Verzeichnisebene.156 Konfigurationshandbuch

Kapitel 5: CA IdentityMinder-VerzeichnisseEin CA IdentityMinder-Verzeichnis gibt Informationen zu einem Benutzerverzeichnis an,das CA IdentityMinder verwaltet. Diese Informationen beschreiben, wie Objekte wie z.B. Benutzer, Gruppen und Organisationen im Benutzerspeicher gespeichert und in CAIdentityMinder angezeigt werden.Sie können CA IdentityMinder-Verzeichnisse im CA IdentityMinder-Verzeichnisabschnittder Management-Konsole erstellen, anzeigen, exportieren, aktualisieren und löschen.Hinweis: Wenn CA IdentityMinder einen Cluster von SiteMinder-Richtlinienservernverwendet, halten Sie alle außer einen Richtlinienserver an, bevor Sie CAIdentityMinder-Verzeichnisse erstellen oder aktualisieren.Dieses Kapitel enthält folgende Themen:Voraussetzungen zum Erstellen eines CA IdentityMinder-Verzeichnisses (siehe Seite 157)So erstellen Sie ein Verzeichnis (siehe Seite 158)Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-Assistenten (sieheSeite 158)Erstellen von Verzeichnissen mit einer XML-Konfigurationsdatei (siehe Seite 172)Aktivieren von Bereitstellungsserver-Zugriff (siehe Seite 174)Anzeigen von CA IdentityMinder-Verzeichnissen (siehe Seite 177)CA IdentityMinder-Verzeichniseigenschaften (siehe Seite 178)Aktualisieren von Einstellungen für ein CA IdentityMinder-Verzeichnis (siehe Seite 187)Voraussetzungen zum Erstellen eines CAIdentityMinder-VerzeichnissesBevor Sie ein CA IdentityMinder-Verzeichnis erstellen, müssen Sie folgende Schrittedurchführen:■■Halten Sie alle außer einen CA IdentityMinder-Knoten an, bevor Sie ein CAIdentityMinder-Verzeichnis erstellen oder ändern.Hinweis: Wenn Sie einen Cluster von CA IdentityMinder-Knoten haben, kann nurein CA IdentityMinder-Knoten aktiviert sein, wenn Sie Änderungen in derManagement-Konsole vornehmen.Halten Sie alle außer einen Richtlinienserver an, bevor Sie CAIdentityMinder-Verzeichnisse erstellen oder aktualisieren.Hinweis: Wenn Sie einen Cluster von SiteMinder-Richtlinienservern haben, kannnur ein SiteMinder-Richtlinienserver aktiviert sein, wenn Sie Änderungen in derManagement-Konsole vornehmen.Kapitel 5: CA IdentityMinder-Verzeichnisse 157

So erstellen Sie ein VerzeichnisSo erstellen Sie ein VerzeichnisIn der Management-Konsole erstellen Sie ein CA IdentityMinder-Verzeichnis, dasStruktur und Inhalt des Benutzerspeicher beschreibt, und das Bereitstellungsverzeichnis,das erforderliche Informationen für den Bereitstellungsserver speichert. DieseVerzeichnisse werden zur CA IdentityMinder-Umgebung zugeordnet.Sie können eine der folgenden Methoden verwenden, um Verzeichnisse zu erstellen:■■Verwenden des Assistenten für VerzeichniskonfigurationLeitet Administratoren durch den Prozess, ein Verzeichnis für ihrenBenutzerspeicher zu erstellen. Diese Methode hilft dabei, möglicheKonfigurationsfehler zu reduzieren.Hinweis: Verwenden Sie den Assistenten für Verzeichniskonfiguration nur, um neueVerzeichnisse für die LDAP-Benutzerspeicher zu erstellen. Um ein Verzeichnis füreine relationale Datenbank zu erstellen oder ein vorhandenes Verzeichnis zuaktualisieren, importieren Sie direkt eine directory.xml-Datei.Verwenden einer XML-KonfigurationsdateiErlaubt Administratoren, eine vollständig konfigurierte XML-Datei auszuwählen, umden Benutzerspeicher oder Bereitstellungsserver zu erstellen oder zu ändern.Wählen Sie diese Methode aus, wenn Sie ein Verzeichnis für eine relationaleDatenbank erstellen oder wenn Sie ein vorhandenes Verzeichnis aktualisieren.Weitere Informationen:Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-Assistenten (sieheSeite 158)Erstellen von Verzeichnissen mit einer XML-Konfigurationsdatei (siehe Seite 172)Erstellen von Verzeichnissen mithilfe desVerzeichniskonfigurations-AssistentenDer Verzeichniskonfigurations-Assistent leitet Administratoren durch den Prozess zumErstellen eines Verzeichnisses für ihren Benutzerspeicher und reduziertKonfigurationsfehler. Bevor Sie den Assistenten starten, müssen Sie zunächst dieKonfigurationsvorlage für das CA IdentityMinder-LDAP-Verzeichnis hochladen. DieseVorlagen sind mit bekannten und erforderlichen Attributen vorkonfiguriert. Nach demEingeben von Verbindungsdetails für Ihren LDAP-Benutzerspeicher oder dasBereitstellungsverzeichnis können Sie LDAP-Attribute auswählen, bekannte Attributeverbinden und Metadaten für die Attribute eingeben. Wenn Sie die Attribute verbundenhaben, klicken Sie auf "Fertig stellen", um das Verzeichnis zu erstellen.158 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenStarten des Verzeichniskonfigurations-AssistentenÜ ber den Verzeichniskonfigurations-Assistenten können Administratoren eine CAIdentityMinder-Vorlage auswählen und diese Vorlage für die Verwendung in dereigenen Umgebung ändern.Gehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Directories" (Verzeichnisse), undwählen Sie "Create from Wizard" (Ü ber Assistenten erstellen) aus.Sie werden aufgefordert, eine Verzeichniskonfigurationsdatei auszuwählen, um denBenutzerspeicher zu konfigurieren.2. Klicken Sie auf "Durchsuchen", um die Konfigurationsdatei, mit der derBenutzerspeicher oder der Bereitstellungsserver konfiguriert wird, im folgendenStandardverzeichnis auszuwählen, und klicken Sie auf "Weiter".admin_tools\directoryTemplates\directory\Hinweis: "admin_tools" bezeichnet das Verzeichnis, in dem die Verwaltungstoolsinstalliert sind, und "directory" gibt den Namen des LDAP-Anbieters an.Die Verwaltungstools werden in den folgenden Standardordnern gespeichert:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools3. Geben Sie im Fenster "Verbindungsdetails" die Verbindungsinformationen für dasLDAP-Verzeichnis oder den Bereitstellungsserver, die Verzeichnissuchparameterund Failover-Verbindungsinformationen an, und klicken Sie auf "Weiter".Kapitel 5: CA IdentityMinder-Verzeichnisse 159

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-Assistenten4. Legen Sie im Fenster "Configure Managed Object" (Verwaltetes Objektkonfigurieren) die zu konfigurierenden Objekte fest, und klicken Sie auf "Weiter".Zur Auswahl stehen folgende Objekte:■■■■Konfigurieren des verwalteten Objekts der BenutzerConfigure Group Managed Object (Auf Gruppenebene verwaltetes Objektkonfigurieren)Configure Organization Object (Organisationsobjekt konfigurieren)Show summary and deploy directory (Zusammenfassung anzeigen undVerzeichnis bereitstellen)Hinweis: Wählen Sie "Show summary and deploy directory" nur aus, wenn Siedie Konfiguration des Verzeichnisses abgeschlossen haben.a. Zeigen Sie die strukturellen und zusätzlichen Klassen im Fenster "Attributauswählen" an, und ändern Sie sie ggf. Klicken Sie anschließend auf "Weiter".b. Verbinden Sie im Fenster "Select Attributes: Mapping Well-Knowns" (Attributauswählen: bekannte Attribute verbinden) die bekannten CAIdentityMinder-Aliasnamen mit ausgewählten LDAP-Attributen, und klicken Sieauf "Weiter".c. (Optional) Zeigen Sie die Attributdefinitionen im Fenster "Describe UserAttributes" (Benutzerattribute beschreiben) an, und ändern Sie sie. Klicken Sieanschließend auf "Weiter". Sie können den Anzeigenamen und dieBeschreibung ändern.d. (Optional) Definieren Sie im Fenster "User Attribute Details"(Benutzerattributdetails) die Metadaten für jedes ausgewählte Attribut, undklicken Sie auf "Weiter".Das Fenster "Managed Object Selection" (Auswahl des verwalteten Objekts)wird angezeigt.Um Gruppen oder Organisationen zu konfigurieren, wählen Sie das verwalteteObjekt aus, und klicken Sie auf "Weiter", um die Fenster "Attribute" für dieseObjekte aufzurufen.5. Wählen Sie "Show summary and deploy directory" (Zusammenfassung anzeigenund Verzeichnis bereitstellen) aus, und klicken Sie anschließend auf "Weiter".Das Bestätigungsfenster wird geöffnet.6. Zeigen Sie die Details zum Verzeichnis an.Wenn Fehler aufgetreten sind, klicken Sie auf die Schaltfläche "Zurück", um dieÄnderungen in den entsprechenden Fenstern auszuführen. Klicken Sie auf "Fertigstellen", um die Änderungen zu übernehmen.CA IdentityMinder validiert die Konfiguration und erstellt das Verzeichnis.Anschließend kehren Sie zum Fenster "Verzeichnisse" zurück, in dem Sie das neueVerzeichnis anzeigen können.160 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenBildschirm "Select Directory Template" (Verzeichnisvorlage auswählen)Verwenden Sie dieses Fenster, um eine Verzeichnis-XML-Datei für LDAP auszuwählenund einen Benutzerspeicher oder Bereitstellungsserver zu konfigurieren.Klicken Sie auf "Durchsuchen", um die Konfigurationsdatei, mit der derBenutzerspeicher oder der Bereitstellungsserver konfiguriert wird, im folgendenStandardverzeichnis auszuwählen:admin_tools\directoryTemplates\directory\Hinweis: "admin_tools" bezeichnet das Verzeichnis, in dem die Verwaltungstoolsinstalliert sind, und "directory" gibt den Namen des LDAP-Anbieters an.Die Verwaltungstools werden in den folgenden Standardordnern gespeichert:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\Identity Manager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsNachdem Sie die Verzeichnis-XML-Datei ausgewählt haben, klicken Sie auf "Weiter", umdas Fenster "Verbindungsdetails" anzuzeigen.Fenster "Verbindungsdetails"Verwenden Sie dieses Fenster, um die Konfigurationsanmeldeinformationen für IhrenBenutzerspeicher einzugeben. Sie können auch die Verzeichnissuchparameter eingebenund Failover-Verbindungen hinzufügen. Nachdem Sie die Verbindungsinformationeneingegeben haben, klicken Sie auf "Weiter", um die zu verwaltenden Objekteauszuwählen.Hinweis: Die Felder, die auf diesem Fenster angezeigt werden, hängen vom Typ desBenutzerspeichers ab, und davon, ob Sie die Verbindung mithilfe des Assistenten für dieVerzeichniskonfiguration herstellen oder eine XML-Datei direkt importieren.Die folgenden Felder sind in diesem Fenster verfügbar:NameGibt den Namen des Benutzerverzeichnisses an, mit dem Sie Verbindungaufnehmen.BeschreibungHostGibt eine Beschreibung des Benutzerverzeichnisses an.Gibt den Hostnamen für den Computer an, wo sich der Benutzerspeicher befindet.Kapitel 5: CA IdentityMinder-Verzeichnisse 161

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenPortGibt den Port für den Computer an, wo sich der Benutzerspeicher befindet.User DN (Benutzer-DN)Gibt den Benutzerdomänennamen zum Zugriff auf den LDAP-Benutzerspeicher an.JDBC-Datenquellen-JNDI-NameGibt den Namen einer vorhandenen JDBC-Datenquelle an, die CA IdentityMinderverwendet, um mit der Datenbank Verbindung aufzunehmen.BenutzernameDomäneGibt den Benutzernamen zum Zugriff auf den Provisioning-Server an.Hinweis: Ausschließlich für Provisioning-Server.Gibt den Domänennamen zum Zugriff auf den Provisioning-Server an.Hinweis: Ausschließlich für Provisioning-Server.KennwortGibt das Kennwort zum Zugriff auf den LDAP-Benutzerspeicher bzw. denProvisioning-Server an.Kennwort bestätigenBestätigt das Kennwort zum Zugriff auf den LDAP-Benutzerspeicher bzw. denProvisioning-Server.Sichere VerbindungBei Auswahl wird eine Secure Sockets Layer (SSL) Verbindung zumLDAP-Benutzerverzeichnis erzwungen.SuchstammGibt den Speicherort in einem LDAP-Verzeichnis an, das als Ausgangspunkt für dasVerzeichnis dient. Ü blicherweise ist dies eine Organisation (O) oder eineOrganisationseinheit (OU).Hinweis: Ausschließlich für die LDAP-Benutzerspeicher.Search Maximum Rows (Maximale Such-Zeilen)Gibt die maximale Anzahl von Ergebnissen an, die CA IdentityMinder beimDurchsuchen eines Benutzerverzeichnisses zurückgeben kann. Wenn die Anzahl vonErgebnissen das Limit überschreitet, wird ein Fehler angezeigt.Das Einstellen der maximalen Zeilenanzahl kann die Einstellungen imLDAP-Verzeichnis überschreiben, die Suchergebnisse beschränken. Wenn diese imGegensatz stehen, verwendet der LDAP-Server die niedrigste Einstellung.162 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenSearch Page Size (Suchseiten-Größe)Gibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Beachten Sie die folgenden Aspekte beim Angeben der Suchseiten-Größe:■■Such-ZeitlimitDamit Sie die Option zur Festlegung der Seitengröße von Suchen verwendenkönnen, muss der von CA IdentityMinder verwaltete Benutzerspeicher Pagingunterstützen. Einige Benutzerspeichertypen können zusätzliche Konfigurationerfordern, um Paging zu unterstützen. Weitere Informationen finden Sie imKonfigurationshandbuch.Wenn der Benutzerspeicher kein Paging unterstützt und ein Wert für diemaximalen Such-Zeilen angegeben wird, verwendet CA IdentityMinder nur denWert für die maximalen Such-Zeilen, um die Suchgröße zu steuern.Gibt die Höchstzahl an Sekunden an, die CA IdentityMinder in einem Verzeichnissucht, bevor es die Suche beendet.Failover-HostGibt den Hostnamen des Systems an, in dem ein redundanter Benutzerspeicheroder ein alternativer Provisioning-Server vorhanden ist, falls das Primärsystem nichtverfügbar ist. Wenn mehrere Server aufgelistet sind, versucht CA IdentityMindereine Verbindung zu den Systemen in der gleichen aufgelisteten Reihenfolgeherzustellen.Failover-PortGibt den Port des Systems an, in dem ein redundanter Benutzerspeicher oder einalternativer Provisioning-Server vorhanden ist, falls das Primärsystem nichtverfügbar ist. Wenn mehrere Server aufgelistet sind, versucht CA IdentityMindereine Verbindung zu den Systemen in der gleichen aufgelisteten Reihenfolgeherzustellen.Schaltfläche "Hinzufügen"Klicken Sie hier, um zusätzliche Failover-Hostnamen und Portnummernhinzuzufügen.Kapitel 5: CA IdentityMinder-Verzeichnisse 163

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenKonfigurieren des Fensters der verwalteten ObjekteVerwenden Sie dieses Fenster, um ein zu konfigurierendes Objekt auszuwählen.Die folgende Liste steht für die Felder in diesem Fenster:Konfigurieren des verwalteten Objekts der BenutzerBeschreibt, wie Benutzer im Benutzerspeicher gespeichert werden und wie sie in CAIdentityMinder dargestellt werden.Configure Group Managed Object (Auf Gruppenebene verwaltetes Objektkonfigurieren)Beschreibt, wie Gruppen im Benutzerspeicher gespeichert werden und wie sie in CAIdentityMinder dargestellt werden.Configure Organization Managed Object (Auf Organisationsebene verwaltetes Objektkonfigurieren)Wenn der Benutzerspeicher Organisationen einschließt, wird hier beschrieben, wieOrganisationen gespeichert und in CA IdentityMinder dargestellt werden.Show summary and deploy directory (Zusammenfassung anzeigen und Verzeichnisbereitstellen)Gibt an, dass alle verwalteten Objekte definiert wurden und Sie das Verzeichnisbereitstellen möchten. Nachdem Sie "Zusammenfassung anzeigen" ausgewählthaben und das Verzeichnis bereitstellen, klicken Sie "Weiter". Sie gelangen dann zueiner Ü bersichtsseite.Schaltfläche "Speichern"Klicken Sie hier, um Ihre xml-Datei zu speichern.Schaltfläche "Zurück"Klicken Sie hier, um zum Modifizieren zum Bildschirm "Verbindungsdetails"zurückzukehren.Schaltfläche "Weiter"Klicken Sie hier, um mit dem Bildschirm "Attribute auswählen" fortzufahren.Wählen Sie zum Konfigurieren den Benutzer, die Gruppe oder dieOrganisationsattribute.164 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenBildschirm "Attribute auswählen"Verwenden Sie dieses Fenster, um Struktur- oder Hilfsklassen für Ihren Benutzer, IhreGruppe oder Ihre Organisationsobjekte zu ändern oder hinzuzufügen. Dieses Fensterwird mit Werten vorkonfiguriert, die auf gebräuchlichen Verzeichnisschemen und aufBest Practices für den Verzeichnistyp basieren, den Sie verwenden. Ein Administratorkann die Strukturklasse ändern, indem er eine neue Klasse aus dem Drop-down-Menüauswählt. Beim Auswählen aktualisiert eine Klasse die Tabelle mit Attributen, die zurneuen Strukturklasse gehören.Eine Hilfsklasse kann hinzugefügt werden, indem diese aus dem Drop-down-Menüausgewählt wird. Beim Auswählen aktualisiert eine Klasse die Tabelle mit Attributen, diezur neuen Hilfsklasse gehören.Die folgende Liste steht für die Felder, die auf diesem Bildschirm angezeigt werden:Struktureller KlassennameGibt die Strukturklasse des zu konfigurierenden Attributs an.Änderungs-SchaltflächeKlicken Sie hier, um die Strukturklasse zu ändern.Kapitel 5: CA IdentityMinder-Verzeichnisse 165

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenAuxiliary Class Name (Name der Hilfsklasse)Gibt die Hilfsklasse des zu konfigurierenden Attributs an.Schaltfläche "Hinzufügen"Klicken Sie hier, um eine zu konfigurierende Hilfsklasse hinzuzufügen.ObjektklasseIDNameGibt die Objektklasse des Containers an.Gibt die Container-ID an.Gibt den Namen des Containers an.Attribute-TabelleGibt den physischen Namen und die Objektklasse dahingehend an, ob das Attributmit mehreren Werten ausgestattet ist. Außerdem gibt es den Datentyp derausgewählten Attribute an. Attribute in dieser Tabelle können nach "Ausgewählt","Objektklasse", "Mehrfachwerten" oder "Datentyp" sortiert werden.Schaltfläche "Zurück"WeiterKlicken Sie hier, um zum Bildschirm der konfigurierten verwalteten Objektezurückzukehren.Klicken Sie hier, um mit dem Fenster der bekannten Zuordnungen fortzufahren unddie erforderlichen und optionalen bekannten Aliase zuzuordnen.166 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenFenster der bekannten ZuordnungenVerwenden Sie dieses Fenster, um CA IdentityMinder bekannte Attribute zuausgewählten LDAP-Attributen zuzuordnen. Ein Administrator kann in der Liste vonbekannten Attributen (wenn sie für benutzerdefinierten Code erforderlich sind)Elemente hinzufügen, indem er ein neues bekanntes Attribut ins Textfeld eingibt undauf die Schaltfläche "Hinzufügen" klickt. Das Fenster wird aktualisiert, sodass Sie mitdem Hinzufügen beliebig vieler bekannter Attribute fortfahren können.Die folgende Liste steht für die Felder, die auf diesem Bildschirm angezeigt werden:Erforderliche bekannte Attribute (Well-Knowns)Gibt die bekannten Attribute für Benutzer, Gruppen oder Organisationen an (wennanwendbar), die für die Zuordnung zu den LDAP-Attributen erforderlich sind.Optionale Well-KnownsGibt die bekannten Attribute für Benutzer, Gruppen oder Organisationen an (wennanwendbar), die optional zugeordnet werden können.Neuer Well-KnownGibt ein bekanntes Attribut an, auf das über benutzerdefinierten Code verwiesenwird.Schaltfläche "Hinzufügen"Klicken Sie hier, um ein neues bekanntes Attribut zur Tabelle der optionalenWell-Knowns hinzuzufügen.Schaltfläche "Zurück"Klicken Sie hier, um zum Fenster der ausgewählten Benutzerattributezurückzugehen und weitere Attribute auszuwählen. Die Zuordnungen, die Siebereits vorgenommen haben, werden gespeichert und sind verfügbar, wenn Sie zudiesem Fenster zurückkehren.Schaltfläche "Weiter"Klicken Sie hier, um mit dem Fenster der grundlegenden Objektattribut-Definitionfortzufahren und um grundlegende Attributdefinitionen anzugeben.Weitere InformationenBekannte Attribute für einen LDAP-Benutzerspeicher (siehe Seite 79)Bekannte Attribute für Benutzer (siehe Seite 80)Bekannte Attribute für Gruppen (siehe Seite 83)Bekannte Attribute zur Organisation (siehe Seite 85)Kapitel 5: CA IdentityMinder-Verzeichnisse 167

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenFenster der grundlegenden Objektattribut-DefinitionVerwenden Sie dieses Fenster, um die in üblicher Weise festgelegten Definitionenanzuzeigen und zu ändern: Name und Beschreibung anzeigen.Die folgende Liste steht für die Felder, die auf diesem Bildschirm angezeigt werden:Tabelle der verwalteten ObjekteGibt den Anzeigenamen, physischen Namen, bekannten Namen und dieBeschreibung des verwalteten Objekts an. Verwenden Sie das Drop-down-Menü,um die Beschreibung bei Bedarf zu ändern. Sobald Sie die Änderungenvorgenommen haben, klicken Sie auf "Weiter", um fortzufahren.Schaltfläche "Zurück"Klicken Sie hier, um zum Fenster der bekannten Zuordnungen zurückzukehren undum die Details der Zuordnungen zu ändern.Schaltfläche "Weiter"Klicken Sie hier, um im Fenster "Detailed Object Attribute Definition Screen"(Detaillierte Objektattribut-Definition) fortzufahren, wo Sie zusätzlicheAttributdefinitionen angeben können.168 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenFenster "Detailed Object Attribute Definition Screen" (Detaillierte Objektattribut-Definition)Verwenden Sie dieses Fenster, um weitere Attributdefinitionen anzugeben. EinAdministrator kann die Metadaten für jedes ausgewählte Attribut definieren, indem erden Anzeigenamen ändert und indem er das Attribut in den Benutzerkonsolen-Fenstern,den Datentyp des Wertes, die maximale Länge und den Validierungsregelsatz verwaltet.Sobald Sie die Attributdefinitionen angegeben haben, klicken Sie auf "Weiter", umfortzufahren.Dieses Fenster enthält folgende Felder:AnzeigenameGibt den eindeutigen Namen für das verwaltete Objektattribut an. Dies ist derName, der in der Benutzerkonsole angezeigt wird.KennungenGibt die Kennungen der Datenklassifizierung für den Wert des verwaltetenObjektattributs an. Die Kennungen sind alle optional und standardgemäß auf"falsch" eingestellt; außer die für die Suche vorgesehenen. Die folgendenKennungen können ausgewählt werden:erforderlichZeigt an, dass das Attribut beim Erstellen von Objekten obligatorisch ist.Mehrere WerteZeigt an, dass das Attribut mit mehreren Werten angezeigt wird.AusgeblendetSystemZeigt an, dass das Attribut ausgeblendet wird.Zeigt an, dass das Attribut ein Systemattribut ist und den Aufgabenfensternnicht hinzugefügt wird.DurchsuchbarZeigt an, dass das Attribut zu Suchfiltern hinzugefügt wird. Standardgemäßwahr.Sensible VerschlüsselungZeigt an, dass das Attribut empfindlich ist. Es wird als eine Reihe von Sternchen(*) angezeigt.Ausgeblendet in VSTZeigt an, dass das Attribut im Fenster der Ereignisdetails zur Anzeige dergesendeten Aufgaben ausgeblendet wird.Nicht kopierenZeigt an, dass das Attribut ignoriert werden muss, wenn ein Administrator dieKopie eines Objekts erstellt.Kapitel 5: CA IdentityMinder-Verzeichnisse 169

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenVormals verschlüsseltZeigt an, dass das Attribut, auf das im Benutzerspeicher zugegriffen wird,vormals verschlüsselt war und dass eine Entschlüsselung erforderlich ist. Dereindeutige Textwert wird im Benutzerspeicher gesichert, wenn das Objektgespeichert wird.Ungekennzeichnet verschlüsseltDatentypZeigt an, dass das Attribut vormals im Benutzerspeicher verschlüsselt war unddass kein Kennungsname des Verschlüsselungsalgorithmus am Anfang desverschlüsselten Textes vorliegt.Gibt den Datentyp des Wertes für das verwaltete Objektattribut in derBenutzerkonsole an. Zur Auswahl stehen folgende Komponenten:■■■READONLYWRITEONCEREADWRITEMaximum Length (Maximale Länge)Gibt die maximale Länge des Wertes für das verwaltete Objektattribut anStandard: 0Validation Rule Set (Validierungsregelsatz)Gibt die Validierungsregelsätze an, um den Wert des verwalteten Objektattributs zuvalidieren. Zur Auswahl stehen folgende Komponenten:■■■User Validation (Benutzervalidierung)Phone Format (Telefonformat)International Phone Format (Internationales Telefonformat)Schaltfläche "Zurück"Klicken Sie auf diese Schaltfläche, um zum Modifizieren zum Fenster dergrundlegenden Objektattribut-Definitionen zurückzukehren.Schaltfläche "Weiter"Klicken Sie auf diese Schaltfläche, um mit dem Fenster zum Konfigurieren derverwalteten Objekte fortzufahren. In diesem Fenster können Sie das nächste zukonfigurierende verwaltete Objekt auswählen. Sobald Sie die verwalteten Objektekonfiguriert haben, wählen Sie die Anzeige-Zusammenfassung und das bereitstellteVerzeichnis, um Ihre Verzeichnisinformationen anzuzeigen und das Verzeichnisbereitzustellen.Weitere InformationenVerwalten vertraulicher Attribute (siehe Seite 71)170 Konfigurationshandbuch

Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations-AssistentenBestätigungs-FensterDieses Fenster zeigt eine Zusammenfassung der Verzeichnis-Details an.Die folgende Liste steht für die Felder, die auf diesem Bildschirm angezeigt werden:Verbindungs-DetailsGibt die Verbindungsdetails für das Benutzerverzeichnis an.Details zu Benutzer/Gruppe/OrganisationGibt die Änderungen an, die am directory.xml vorgenommen werden.Schaltfläche "Zurück"Klicken Sie hier, um Details im Assistenten zu ändern.Schaltfläche "Speichern"Klicken Sie hier, um Ihre Auswahl zu speichern.Schaltfläche "Fertig stellen"Wenn alle Verzeichnisdetails richtig sind, klicken Sie hier, um den Assistenten zuverlassen.Die Konfiguration wird validiert, und das Verzeichnis wird erstellt. Sie gelangendann zurück zur Auflistungsseite der Verzeichnisse, wo das neue Verzeichnisaufgelistet wird. Um das neue Verzeichnis zu bearbeiten oder zu exportieren,wählen Sie es aus der Verzeichnisliste aus.Kapitel 5: CA IdentityMinder-Verzeichnisse 171

Erstellen von Verzeichnissen mit einer XML-KonfigurationsdateiErstellen von Verzeichnissen mit einerXML-KonfigurationsdateiSie können ein CA IdentityMinder-Verzeichnis durch das Importieren einer vollständigendirectory.xml-Datei in der Management-Konsole erstellen oder aktualisieren.Hinweis: Wenn Sie ein Verzeichnis unter Verwendung einer directory.xml-Datei anstelledes Assistenten für Verzeichniskonfiguration erstellen, vergewissern Sie sich, dass Siedie Standardkonfigurationsvorlage geändert haben. Weitere Informationen finden Sieim Konfigurationshandbuch.Gehen Sie wie folgt vor:1. Ö ffnen Sie die Management-Konsole, indem Sie die folgende URL in einen Browsereingeben:http://hostname:port/iam/immanageHostnameportDefiniert den voll qualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist.Definiert die Portnummer des Anwendungsservers.2. Klicken Sie auf "Directories" (Verzeichnisse).Das CA IdentityMinder-Verzeichnisfenster wird geöffnet.3. Klicken Sie auf "Create or Update from XML" (Aus XML erstellen oder aktualisieren).4. Geben Sie den Pfad und Dateinamen der Verzeichniskonfigurations-XML-Datei fürdas Erstellen des CA IdentityMinder-Verzeichnisses ein, oder suchen Sie nach derDatei. Klicken Sie auf "Weiter".5. Geben Sie Werte für die Felder in diesem Fenster folgendermaßen an:Hinweis: Die Felder, die in diesem Fenster angezeigt werden, hängen vomBenutzerspeichertyp und der Information ab, die Sie in derVerzeichniskonfigurationsdatei in Schritt 4 angegeben haben. Wenn Sie Werte füreines dieser Felder in der Verzeichniskonfigurationsdatei angaben, fordert CAIdentityMinder Sie nicht auf, diese Werte erneut zu liefern.NameBestimmt den Namen des CA IdentityMinder-Verzeichnisses, das Sie erstellen.Beschreibung(Optional) Beschreibt das CA IdentityMinder-Verzeichnis.172 Konfigurationshandbuch

Erstellen von Verzeichnissen mit einer XML-KonfigurationsdateiConnection Object Name (Name des Verbindungsobjekts)Gibt den Namen des Benutzerverzeichnisses an, das das CAIdentityMinder-Verzeichnis beschreibt. Geben Sie eins der folgenden Detailsein:■■■Wenn CA IdentityMinder nicht in SiteMinder integriert ist, geben Sie einenaussagekräftigen Namen für das Objekt an, das CA IdentityMinderverwendet, um mit dem Benutzerspeicher Verbindung aufzunehmen.Wenn CA IdentityMinder in SiteMinder integriert ist und Sie einBenutzerverzeichnis-Verbindungsobjekt in SiteMinder erstellen wollen,geben Sie einen aussagekräftigen Namen an. CA IdentityMinder erstelltdas Benutzerverzeichnis-Verbindungsobjekt in SiteMinder mit demNamen, den Sie angeben.Wenn CA IdentityMinder in SiteMinder integriert ist und Sie mit einemvorhandenen SiteMinder-Benutzerverzeichnis Verbindung aufnehmenwollen, geben Sie den Namen desSiteMinder-Benutzerverzeichnis-Verbindungsobjekts genau an, wie er inder Richtlinienserver-Benutzeroberfläche angezeigt wird.JDBC-Datenquellen-JNDI-Name (nur für relationale Verzeichnisse)Gibt den Namen einer vorhandenen JDBC-Datenquelle an, die CAIdentityMinder verwendet, um mit der Datenbank Verbindung aufzunehmen.Host (nur für LDAP-Verzeichnisse)Gibt den Hostnamen oder die IP-Adresse des Servers an, auf dem dasBenutzerverzeichnis installiert ist.Verwenden Sie für CA Directory-Benutzerspeicher den vollen Domänennamendes Hostsystems. Verwenden Sie nicht localhost.Geben Sie für Active Directory-Benutzerspeicher den Domänennamen an, nichtdie IP-Adresse.Port (nur für LDAP-Verzeichnisse)Gibt die Portnummer des Benutzerverzeichnisses an.BereitstellungsdomäneBereitstellungsdomäne, die CA IdentityMinder verwaltet.Hinweis: Der Bereitstellungsdomänenname berücksichtigt Groß- undKleinschreibung.Benutzername/Benutzer-DNGibt den Benutzernamen für ein Konto an, das auf den Benutzerspeicherzugreifen kann.Für Bereitstellungs-Benutzerspeicher muss das Benutzerkonto, das Sieangeben, das Domänenadministrator-Profil oder ein gleichwertiges Set vonBerechtigungen für die Bereitstellungsdomäne haben.Kapitel 5: CA IdentityMinder-Verzeichnisse 173

Aktivieren von Bereitstellungsserver-ZugriffKennwortGibt das Kennwort für das Benutzerkonto an, das Sie im Benutzernamen (fürrelationale Datenbanken) oder Benutzer-DN-Feld angegeben haben (fürLDAP-Verzeichnisse).Kennwort bestätigenGeben Sie das in das Feld "Kennwort" eingegebene Kennwort erneut zurBestätigung ein.Sichere Verbindung (nur für LDAP-Verzeichnisse)Zeigt an, ob CA IdentityMinder eine sichere Verbindung verwendet.Wählen Sie diese Option für Active Directory-Benutzerspeicher aus.Klicken Sie auf "Weiter".6. Ü berprüfen Sie die Einstellungen für das CA IdentityMinder-Verzeichnis. Klicken Sieauf "Fertig stellen", um das CA IdentityMinder-Verzeichnis mit den aktuellenEinstellungen zu erstellen, oder auf "Zurück", um es zu ändern.Statusinformationen werden im Verzeichniskonfigurations-Ausgabefensterangezeigt.7. Klicken Sie zum Beenden auf "Fortfahren".CA IdentityMinder erstellt das Verzeichnis.Aktivieren von Bereitstellungsserver-ZugriffSie aktivieren den Zugriff auf den Bereitstellungsserver durch die Verwendung des Links"Directories" (Verzeichnisse) in der Management-Konsole.Hinweis: Eine Voraussetzung für diesen Vorgang ist, das Bereitstellungsverzeichnis aufCA Directory zu installieren. Weitere Informationen dazu finden Sie imInstallationshandbuch.Gehen Sie wie folgt vor:1. Ö ffnen Sie die Management-Konsole, indem Sie die folgende URL in einen Browsereingeben:http://hostname:port/iam/immanageHostnameportDefiniert den voll qualifizierten Hostnamen des Systems, auf dem der CAIdentityMinder-Server installiert ist.Definiert die Portnummer des Anwendungsservers.174 Konfigurationshandbuch

Aktivieren von Bereitstellungsserver-Zugriff2. Klicken Sie auf "Directories" (Verzeichnisse).Das CA IdentityMinder-Verzeichnisfenster wird geöffnet.3. Klicken Sie auf "Create from Wizard" (Ü ber Assistenten erstellen).4. Geben Sie den Pfad und Dateinamen der Verzeichnis-XML-Datei für dasKonfigurieren des Bereitstellungsverzeichnisses ein. Es wird unter"directoryTemplates\ProvisioningServer" im Ordner "Verwaltung" gespeichert. DerStandardspeicherort dieses Ordners ist:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsHinweis: Sie können diese Verzeichniskonfigurationsdatei wie installiert ohneÄnderungen verwenden.5. Klicken Sie auf "Weiter".6. Geben Sie Werte für die Felder in diesem Fenster folgendermaßen an:NameIst ein Name für das Bereitstellungsverzeichnis, das dem Bereitstellungsserverzugeordnet wird, den Sie konfigurieren.■■BeschreibungHostPortWenn CA IdentityMinder nicht in SiteMinder integriert ist, geben Sie einenaussagekräftigen Namen für das Objekt an, das CA IdentityMinderverwendet, um mit dem Benutzerverzeichnis Verbindung aufzunehmen.Wenn CA IdentityMinder in SiteMinder integriert ist, haben Sie zweiOptionen:Wenn Sie ein Benutzerverzeichnis-Verbindungsobjekt in SiteMindererstellen wollen, geben Sie einen aussagekräftigen Namen an. CAIdentityMinder erstellt dieses Objekt in SiteMinder mit dem Namen, denSie angeben.Wenn Sie mit einem vorhandenen SiteMinder-BenutzerverzeichnisVerbindung aufnehmen wollen, geben Sie den Namen desSiteMinder-Benutzerverzeichnis-Verbindungsobjekts genau an, wie er inder Richtlinienserver-Benutzeroberfläche angezeigt wird.(Optional) Beschreibt das CA IdentityMinder-Verzeichnis.Gibt den Hostnamen oder die IP-Adresse des Servers an, auf dem dasBenutzerverzeichnis installiert ist.Gibt die Portnummer des Benutzerverzeichnisses an.Kapitel 5: CA IdentityMinder-Verzeichnisse 175

Aktivieren von Bereitstellungsserver-ZugriffDomäneGibt den Namen der Bereitstellungsdomäne an, die CA IdentityMinderverwaltet.Wichtig! Wenn Sie ein Bereitstellungsverzeichnis über dieManagement-Konsole mit fremdsprachigen Zeichen als Domänennameerstellen, schlägt die Bereitstellungsverzeichnis-Erstellung fehl.Der Name muss mit dem Namen der Bereitstellungsdomäne übereinstimmen,den Sie während Installation angaben.Hinweis: Der Domänenname berücksichtigt Groß- und Kleinschreibung.BenutzernameGibt einen Benutzer an, der sich beim Bereitstellungsmanager anmelden kann.Der Benutzer muss das Domänenadministrator-Profil oder ein gleichwertigesSet von Berechtigungen für die Bereitstellungsdomäne haben.KennwortGibt das Kennwort für den globalen Benutzer an, den Sie im Feld"Benutzername" angegeben haben.Kennwort bestätigenGeben Sie das in das Feld "Kennwort" eingegebene Kennwort erneut zurBestätigung ein.Sichere VerbindungZeigt an, ob CA IdentityMinder eine sichere Verbindung verwendet.Wählen Sie diese Option für Active Directory-Benutzerspeicher aus.Verzeichnissuchparametermaxrows definiert die Höchstanzahl von Ergebnissen, die CA IdentityMinderzurückgeben kann, wenn man ein Benutzerverzeichnis durchsucht. Dieser Wertüberschreibt ein im LDAP-Verzeichnis festgelegtes Limit. Wenn diese imGegensatz stehen, verwendet der LDAP-Server die niedrigste Einstellung.Hinweis: Der maxrows-Parameter beschränkt nicht die Anzahl von Ergebnissen,die im CA IdentityMinder-Aufgabenfenster angezeigt werden. Um dieAnzeigeeinstellungen zu konfigurieren, ändern Sie die Listenfensterdefinition inder CA IdentityMinder-Benutzerkonsole. Weitere Anweisungen finden Sie imHandbuch zum Benutzerkonsolendesign.176 Konfigurationshandbuch

Anzeigen von CA IdentityMinder-Verzeichnissentimeout bestimmt die maximale Anzahl von Sekunden, die CA IdentityMinderein Verzeichnis durchsucht, bevor es die Suche beendet.Failover-VerbindungenHostname und Portnummer von einem oder mehreren optionalen Systemen,die alternative Bereitstellungsserver sind. Wenn mehrere Server aufgelistetsind, versucht CA IdentityMinder, mit den Systemen in der ReihenfolgeVerbindung aufzunehmen, in der sie aufgelistet sind.Die alternativen Bereitstellungsserver werden verwendet, wenn der primäreBereitstellungsserver fehlschlägt. Wenn der primäre Bereitstellungsservererneut verfügbar wird, wird der alternative Bereitstellungsserver weiterhinverwendet. Wenn Sie zur Verwendung des Bereitstellungsservers zurückkehrenmöchten, starten Sie den alternativen Bereitstellungsserver neu.7. Klicken Sie auf "Weiter".8. Wählen Sie die zu verwaltenden Objekte aus, wie Benutzer oder Gruppen.9. Nachdem Sie die Objekte nach Bedarf konfiguriert haben, lassen Sie dieZusammenfassung der Bereitstellung des Verzeichnisses anzeigen und überprüfendie Einstellungen für das Bereitstellungsverzeichnis.10. Klicken Sie auf eine dieser Aktionen:a. Klicken Sie auf "Zurück", um etwas zu ändern.b. Klicken Sie auf "Speichern", um die Verzeichnisinformationen zu speichern,wenn Sie später zur Bereitstellung zurückkommen wollen.c. Klicken Sie auf "Fertig stellen", um diesen Vorgang abzuschließen undanzufangen, eine Umgebung für die Bereitstellung zu konfigurieren (sieheSeite 199).Anzeigen von CA IdentityMinder-VerzeichnissenFühren Sie den folgenden Vorgang aus, um ein CA IdentityMinder-Verzeichnisanzuzeigen.Gehen Sie wie folgt vor:1. Klicken Sie in der CA IdentityMinder-Management-Konsole auf "Directories"(Verzeichnisse).2. Klicken Sie auf den Namen des anzuzeigenden CA IdentityMinder-Verzeichnisses.Das Fenster //"Verzeichniseigenschaften" wird mit den CAIdentityMinder-Verzeichniseigenschaften angezeigt.Kapitel 5: CA IdentityMinder-Verzeichnisse 177

CA IdentityMinder-VerzeichniseigenschaftenCA IdentityMinder-VerzeichniseigenschaftenDie CA IdentityMinder-Verzeichniseigenschaften sind wie folgt:Hinweis: Die Eigenschaften, die angezeigt werden, hängen vom Typ der Datenbank oderdes Verzeichnisses ab, das dem CA IdentityMinder-Verzeichnis zugeordnet ist.NameDefiniert den eindeutigen Namen des CA IdentityMinder-Verzeichnisses.BeschreibungTypGeben Sie eine Beschreibung des CA IdentityMinder-Verzeichnisses ein.Definiert den Typ des Verzeichnisanbieters.Connection Object Name (Name des Verbindungsobjekts)Zeigt den Namen des Benutzerverzeichnisses an, das das CAIdentityMinder-Verzeichnis beschreibt.Wenn CA IdentityMinder in SiteMinder integriert ist, stimmt derVerbindungsobjektname mit dem Namen derSiteMinder-Benutzerverzeichnisverbindung überein.Root Organization (Stammorganisation), für Benutzerspeicher, die OrganisationeneinschließenGibt den Eingangspunkt für den Benutzerspeicher an.Für LDAP-Verzeichnisse wird die Stammorganisation als DN angegeben. Fürrelationale Datenbanken wird die eindeutige Kennung für die Stammorganisationangezeigt.JDBC Data Source (JDBC-Datenquelle)URLGibt den Namen der JDBC-Datenquelle an, die CA IdentityMinder verwendet, ummit der Datenbank Verbindung aufzunehmen.Gibt die URL oder IP-Adresse des Benutzerspeichers an.BenutzernameGibt den Benutzernamen für ein Konto an, das auf den Benutzerspeicher zugreifenkann.Search Maximum Rows (Maximale Such-Zeilen)Zeigt die Höchstanzahl von zurückgegebenen Zeilen als Ergebnis einer Suche an.178 Konfigurationshandbuch

CA IdentityMinder-VerzeichniseigenschaftenSearch Page Size (Suchseiten-Größe)Gibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Hinweis: Der Benutzerspeicher, den CA IdentityMinder verwaltet, muss Pagingunterstützen. Einige Benutzerspeichertypen können zusätzliche Konfigurationerfordern, um Paging zu unterstützen. Weitere Informationen finden Sie imKonfigurationshandbuch.Supports Paging (Unterstützt Paging)Zeigt an, dass das Verzeichnis Paging unterstützt.Search Timeout (Such-Zeitlimit), nur für LDAP-VerzeichnisseGibt die maximale Anzahl von Sekunden, die CA IdentityMinder einenBenutzerspeicher durchsucht, bevor es die Suche beendet.Provisioning Domain (Bereitstellungsdomäne), nur fürBereitstellungsserververzeichnisseBereitstellungsdomäne, die CA IdentityMinder verwaltet.Fenster "CA IdentityMinder Directory Properties" (Verzeichniseigenschaften)Im Eigenschaftsfenster werden allgemeine Informationen über das von Ihnenausgewählte CA IdentityMinder-Verzeichnis angezeigt. Das Fenster "DirectoryProperties" ist in die folgenden Abschnitte auf geteilt:Directory PropertiesZeigt grundlegende Eigenschaften für das CA IdentityMinder-Verzeichniseinschließlich der zugeordneten Bereitstellungsdomäne an, wenn Bereitstellung fürdie Umgebung aktiviert ist.Managed Objects (Verwaltete Objekte) (siehe Seite 181)Gibt Beschreibungen des Typs von Benutzerspeicherobjekten an, die CAIdentityMinder verwaltet.Validation Rule Sets (Validierungsregelsätze) (siehe Seite 185)Listet Validierungsregelsätze auf, die sich auf das CA IdentityMinder-Verzeichnisbeziehen.Kapitel 5: CA IdentityMinder-Verzeichnisse 179

CA IdentityMinder-VerzeichniseigenschaftenEnvironments (Umgebungen)Listet die Umgebungen auf, die dem CA IdentityMinder-Verzeichnis zugeordnetwerden. Ein Verzeichnis kann mehreren CA IdentityMinder-Umgebungenzugeordnet werden.Um weitere Informationen zu einer CA IdentityMinder-Umgebung anzuzeigen,klicken Sie auf den Namen der Umgebung.Um Eigenschaften in einem CA IdentityMinder-Verzeichnis zu ändern, importierenSie eine Verzeichniskonfigurationsdatei, wie in Aktualisieren von CAIdentityMinder-Verzeichnissen (siehe Seite 188) beschrieben.Zusätzlich zum Anzeigen der Eigenschaften können Sie auch die folgenden Aktionenausführen:Update Authentication (Authentifizierung aktualisieren)Erlaubt Administratoren, das Verzeichnis zu ändern, das CA IdentityMinderverwendet, um Management-Konsolen-Administratoren zu authentifizieren.Administratoren können auch zusätzliche Management-Konsolen-Administratorenim vorhandenen Authentifizierungsverzeichnis hinzufügen.Hinweis: Die Optionen zum Aktualisieren der Authentifizierung gelten nur, wennsystemeigene CA IdentityMinder-Sicherheit die Management-Konsole schützt.Information zum Aktivieren der systemeigenen Sicherheit oder zur Verwendungeiner anderen Sicherheitsmethode finden Sie im Konfigurationshandbuch.Export (siehe Seite 187)Exportiert die Verzeichnisdefinition als XML-Datei. Nachdem Sie dieVerzeichniseinstellungen exportiert haben, können Sie die XML-Datei ändern unddann erneut importieren, um das Verzeichnis zu aktualisieren. Sie können auch dieXML-Datei in ein anderes Verzeichnis importieren, um die gleichen Einstellungen fürdieses Verzeichnis zu konfigurieren.Aktualisieren (siehe Seite 188)Ermöglicht Administratoren das Hinzufügen oder Ändern von verwaltetenObjektdefinitionen, wie die Attribute eines Objekts, Festlegen von Suchparameternund Ändern von Verzeichniseigenschaften.180 Konfigurationshandbuch

CA IdentityMinder-VerzeichniseigenschaftenAnzeigen von verwalteten Objekteigenschaften und AttributenEin verwaltetes Objekt beschreibt einen Eintragstyp im Benutzerspeicher, wie einBenutzer, Gruppe oder Organisation. Die Eigenschaften und Attribute, die sich auf einverwaltetes Objekt beziehen, beziehen sich auf alle Einträge dieses Typs. Zum Beispielbesteht ein Benutzerprofil aus allen Eigenschaften und Attributen des verwaltetenObjekts "Benutzer".Um die Details eines verwalteten Objekts anzuzeigen, klicken Sie auf den Namen desObjekts, um das Fenster "Managed Object Properties" (Eigenschaften von verwaltetenObjekten) zu öffnen.Managed Object Properties (Eigenschaften von verwalteten Objekten)Das Fenster "Managed Object Properties" beschreibt die Eigenschaften und Attributefür einen Typ von verwaltetem Objekt.Die Informationen im Fenster "Managed Object Properties" hängen vom Typ desBenutzerspeichers ab, den Sie verwalten. Verwaltete Eigenschaften eines Objekts sindFolgende:BeschreibungTypGibt eine Beschreibung des verwalteten Objekts an.Zeigt den Eintragstyp an, den das verwaltete Objekt darstellt. Ein Objekttyp kanneiner der folgenden Typen sein:■■■UserGruppeOrganisationObjektklasse (nur für LDAP-Verzeichnisse)Gibt die Objektklassen für das verwaltete Objekt an. Ein verwaltetes Objekt kannmehrere Objektklassen haben.Sort Order (Sortierreihenfolge), nur für LDAP-VerzeichnisseGibt die Attribute an, die CA IdentityMinder verwendet, um Suchergebnisse nachbenutzerdefinierter Business-Logik zu sortieren. Die Reihenfolge wirkt sich nicht aufdie Reihenfolge von Suchergebnissen in der Benutzerkonsole aus.Wenn Sie zum Beispiel das cn-Attribut für das Benutzerobjekt angeben, sortiert CAIdentityMinder die Ergebnisse einer Suche nach Benutzern alphabetisch nach demcn-Attribut.Primary Table (Primäre Tabelle), nur für relationale DatenbankenGibt die Tabelle an, die die eindeutige Kennung für das verwaltete Objekt enthält.Kapitel 5: CA IdentityMinder-Verzeichnisse 181

CA IdentityMinder-VerzeichniseigenschaftenMaximale ZeilenzahlGibt die Höchstanzahl von Ergebnissen an, die CA IdentityMinder zurückgebenkann, wenn man nach Objekten dieses Typs sucht. Wenn die Anzahl vonErgebnissen das Limit überschreitet, wird ein Fehler angezeigt.Das Einstellen der maximalen Zeilenanzahl kann die Einstellungen imLDAP-Verzeichnis überschreiben, die Suchergebnisse beschränken. Wenn diese imGegensatz stehen, verwendet der LDAP-Server die niedrigste Einstellung.SeitengrößeGibt die Anzahl von Objekten an, die in einer einzelnen Suche zurückgegebenwerden können. Wenn die Anzahl von Objekten die Seitengröße überschreitet,führt CA IdentityMinder mehrere Suchen aus.Hinweis: Der Benutzerspeicher, den CA IdentityMinder verwaltet, muss Pagingunterstützen. Einige Benutzerspeichertypen können zusätzliche Konfigurationerfordern, um Paging zu unterstützen. Weitere Informationen finden Sie imKonfigurationshandbuch.Container-Eigenschaften (nur für LDAP-Verzeichnisse)In einem LDAP-Verzeichnis enthält die Container-Gruppe Objekte von einembestimmten Typ. Wenn ein Container angegeben wird, verarbeitet CA IdentityMindernur Einträge im Container. Wenn Sie zum Beispiel den Container "ou=People" angeben,verarbeitet CA IdentityMinder nur Benutzer, die im People-Container vorhanden sind.Hinweis: Benutzer und Gruppen, die im LDAP-Verzeichnis, aber nicht im definiertenContainer vorhanden sind, können in der Benutzerkonsole angezeigt werden. Es kannjedoch Probleme geben, wenn man diese Benutzer und Gruppen verwaltet.Container gruppieren nur Benutzer und Gruppen. Sie können keinen Container fürOrganisationen angeben.Zu den Eigenschaften eines Containers gehören:objectclassGibt die LDAP-Objektklasse des Containers an, wo Objekte von einem bestimmtenTyp erstellt werden. Zum Beispiel ist der Standardwert für den Benutzercontainer"top,organizationalUnit", was anzeigt, dass Benutzer inLDAP-Organisationseinheiten (ou) erstellt werden.182 Konfigurationshandbuch

CA IdentityMinder-VerzeichniseigenschaftenIDNameGibt das Attribut an, das den Containernamen, zum Beispiel "ou", speichert. DasAttribut wird mit dem Namenswert paarweise angeordnet, um den zugehörigen DNdes Containers zu bilden, wie im folgenden Beispiel:ou=PeopleGibt den Namen des Containers an.Eigenschaften von sekundären Tabellen (nur für relationale Datenbanken)Sekundäre Tabellen enthalten zusätzliche Attribute für ein verwaltetes Objekt. ZumBeispiel kann eine sekundäre Tabelle namens "tblUserAddress" die Attribute für Straße,Stadt, Land und Postleitzahl für das verwaltete Objekt "Benutzer" enthalten.Die folgenden Eigenschaften werden für sekundäre Tabellen angezeigt:TabelleGibt den Namen der Tabelle an.ReferenzBeschreibt die Zuordnung zwischen der primären Tabelle und der sekundärenTabelle.Die Referenz wird mithilfe des folgenden Formats angezeigt:primarytable.attribute=secondarytable.attributeZum Beispiel zeigt "tblUsers.id = tblUserAddress.userid" an, dass das id-Attribut inder primären Tabelle "tblUsers" zum userid-Attribut in der Tabelle "tblUserAddress"zugeordnet wird.Attributeigenschaften im Fenster "Managed Object Properties"Die folgenden Eigenschaften werden für Attribute im Fenster "Managed ObjectProperties" (Eigenschaften von verwalteten Objekten) angezeigt:AnzeigenameDer benutzerfreundliche Name des Attributs. Dieser Name wird in der Liste derverfügbaren Attribute angezeigt, wenn Sie ein Aufgabenfenster für eine bestimmteAufgabe in der Benutzerkonsole entwerfen.Physischer NameDer Name des Attributs im Benutzerspeicher.Benutzername "Well-Known"Der bekannte Benutzername "Well-Known" zeigt Attribute an, die eine besondereBedeutung in CA IdentityMinder haben, wie das Attribut, das verwendet wird, umBenutzerkennwörter zu speichern.Kapitel 5: CA IdentityMinder-Verzeichnisse 183

CA IdentityMinder-VerzeichniseigenschaftenAttributeigenschaften in den Attributeigenschaften-FensternSie können zusätzliche Details über ein Attribut anzeigen, indem Sie auf seinen Namenklicken, um das Attributeigenschaften-Fenster zu öffnen.Die folgenden Attributeigenschaften werden im Fenster "Attribute Properties"(Attributeigenschaften) angezeigt:BeschreibungGeben Sie eine Beschreibung des Attributs ein.Physischer NameGibt den Namen des Attributs im Benutzerspeicher an.Objektklasse (nur für Benutzer-, Gruppen- und Organisationsattribute inLDAP-Verzeichnissen)Die zusätzliche LDAP-Klasse für ein Benutzerattribut, wenn das Attribut nicht Teilder primären Objektklasse ist, die für das Benutzerobjekt angegeben ist.Sie können nur für Benutzer- und Gruppenobjekte eine zusätzliche Objektklasseangeben.Benutzername "Well-Known"Zeigt Attribute an, die eine besondere Bedeutung in CA IdentityMinder haben, wiedas Attribut, das verwendet wird, um Benutzerkennwörter zu speichern.erforderlichZeigt an, ob ein Wert für das Attribut erforderlich ist, wie folgt:■■Schreibgeschützt"True" gibt an, dass das Attribut einen Wert haben muss."False" gibt an, dass ein Wert optional ist.Zeigt die Berechtigungsebene für ein Attribut an, wie folgt:■■Ausgeblendet"True" gibt an, dass das Attribut nicht geändert werden kann."False" gibt an, dass das Attribut geändert werden kann.Zeigt an, ob ein Attribut in einem Aufgabenfenster für eine bestimmte Aufgabeangezeigt werden kann.Ausgeblendete Attribute werden oft in logischen Attributschemen verwendet.Hinweis: Weitere Informationen finden Sie im Programmierhandbuch für Java.184 Konfigurationshandbuch

CA IdentityMinder-VerzeichniseigenschaftenUnterstützt mehrere WerteZeigt an, ob das Attribut mehrere Werte haben kann oder nicht, wie folgt (zumBeispiel hat das Attribut, das verwendet wird, um die Mitglieder von einer Gruppezu speichern, mehrere Werte):■■"True" gibt an, dass das Attribut mehrere Werte unterstützen kann."False" gibt an, dass das Attribut nur einen einzelnen Wert haben kann.Multiple Value Delimiter (Trennzeichen bei mehreren Werten), nur für relationaleDatenbankenDas Zeichen, das Werte voneinander trennt, wenn mehrere Werte in einer Spaltegespeichert werden.System Attribute (Systemattribut)Zeigt an, ob das Attribut nur von CA IdentityMinder verwendet wird, wie folgt:■■Datentyp"True" zeigt an, dass das Attribut ein Systemattribut ist. Das Attribut ist nichtzum Hinzufügen zu Aufgabenfenstern verfügbar."False" zeigt an, dass die Benutzer dieses Attribut verwenden können. DasAttribut kann in Aufgabenfenstern angezeigt werden.Gibt den Datentyp des Attributs an. Der Standardwert ist "String".Maximum Length (Maximale Länge)Gibt die größtmögliche Länge an, die ein Attributwert haben kann. Wenn auf 0festgelegt, gibt es kein Limit für die Länge des Wertes.Validation Rule Set (Validierungsregelsatz)Gibt den Namen eines Validierungsregelsatzes an, falls das Attribut einemzugeordnet ist.Validation Rule Sets (Validierungsregelsätze)Eine Validierungsregel erzwingt Anforderungen für Daten, die ein Benutzer in einAufgabenfensterfeld eingibt. Die Anforderungen können einen Datentyp oder einFormat erzwingen oder können sicherstellen, dass die Daten im Kontext von anderenDaten im Aufgabenfenster gültig sind.Kapitel 5: CA IdentityMinder-Verzeichnisse 185

CA IdentityMinder-VerzeichniseigenschaftenValidierungsregel-EigenschaftenEine oder mehrere Validierungsregeln werden in einem Validierungsregelsatz gruppiert.Ein Validierungsregelsatz wird dann einem Profilattribut zugeordnet. Zum Beispielkönnen Sie einen Validierungsregelsatz erstellen, der eineFormat/Datum-Validierungsregel enthält, die ein Datumsformat von mm-tt-jjjj erzwingt.Sie können dann den Validierungsregelsatz dem Attribut zuordnen, das das Startdatumeines Mitarbeiters speichert.Hinweis: Sie erstellen Validierungsregeln und Regelsätze in derVerzeichniskonfigurationsdatei oder in der Benutzerkonsole.Das Fenster "Managed Object Properties" (Eigenschaften von verwalteten Objekten)zeigt eine Liste von Validierungsregelsätzen an, die sich auf das CAIdentityMinder-Verzeichnis beziehen. Um die Details eines Validierungsregelsatzesanzuzeigen, klicken Sie auf den Namen des Regelsatzes, um das Fenster "Validation RuleSet Properties" (Validierungsregelsatz-Eigenschaften) zu öffnen.Die folgenden Informationen werden im Fenster "Validation Rule Properties"(Validierungsregel-Eigenschaften) angezeigt:NameGibt den Namen der Validierungsregel an.BeschreibungKlasseGibt eine Beschreibung der Regel an.Gibt den Namen der Java-Klasse an, die die Validierungsregel implementiert.Dieses Feld wird nicht angezeigt, außer wenn die Validierungsregel in einerJava-Klasse definiert ist.DateinameGibt den Namen der Datei an, die die JavaScript-Implementierung derValidierungsregel enthält.Dieses Feld wird nicht angezeigt, außer wenn die Validierungsregel in einer Dateidefiniert ist.Regulärer AusdruckGibt den regulären Ausdruck an, der die Validierungsregel implementiert.Dieses Feld wird nicht angezeigt, außer wenn die Validierungsregel als regulärerAusdruck definiert ist.186 Konfigurationshandbuch

Aktualisieren von Einstellungen für ein CA IdentityMinder-VerzeichnisValidierungsregelsatz-EigenschaftenDie folgenden Informationen werden im Fenster "Validation Rule Set Properties"(Validierungsregelsatz-Eigenschaften) angezeigt:NameGibt den Namen des Validierungsregelsatzes an.BeschreibungGibt eine Beschreibung für den Validierungsregelsatz an.Die Validierungsregelsatz-Eigenschaftsseite schließt auch eine Liste vonValidierungsregeln im Set ein. Sie können auf den Namen der Validierungsregel klicken,um das Fenster "Validation Rule Properties" (Validierungsregel-Eigenschaften) zuöffnen.Aktualisieren von Einstellungen für ein CAIdentityMinder-VerzeichnisUm die aktuellen Einstellungen von einem CA IdentityMinder-Verzeichnis anzuzeigen,exportieren Sie die Verzeichniseinstellungen und speichern sie als eine XML-Datei.Nachdem Sie die Verzeichniseinstellungen exportiert haben, können Sie die XML-Dateiändern und erneut importieren, um das Verzeichnis zu aktualisieren. Sie können auchdie XML-Datei in ein anderes Verzeichnis importieren, um die gleichen Einstellungen fürdieses Verzeichnis zu konfigurieren.Exportieren von CA IdentityMinder-VerzeichnissenFühren Sie den folgenden Vorgang aus, um ein CA IdentityMinder-Verzeichnis zuexportieren.Gehen Sie wie folgt vor:1. Klicken Sie auf "Directories" (Verzeichnisse).Die Liste von CA IdentityMinder-Verzeichnissen wird angezeigt.2. Klicken Sie auf den Namen des zu exportierenden Verzeichnisses.Die Eigenschaften für das CA IdentityMinder-Verzeichnisfenster werden angezeigt.3. Klicken Sie unten im Eigenschaftsfenster auf "Export".4. Wenn Sie aufgefordert werden, speichern Sie die XML-Datei.Kapitel 5: CA IdentityMinder-Verzeichnisse 187

Aktualisieren von Einstellungen für ein CA IdentityMinder-VerzeichnisAktualisieren von CA IdentityMinder-VerzeichnissenDer Zweck der Aktualisierung eines CA IdentityMinder-Verzeichnisses ist:■■■Hinzufügen oder Ändern von verwalteten Objektdefinitionen, einschließlich derAttribute eines Objekts.Festlegen von SuchparameternÄndern der VerzeichniseigenschaftenHinweis: CA IdentityMinder löscht keine Objekt- oder Attributdefinitionen.Die Verzeichniskonfigurationsdatei darf nur die Änderungen enthalten, die Sievornehmen wollen. Sie sollten keine Eigenschaften oder Attribute einschließen, diebereits definiert sind.Hinweis: Wenn Sie einen Cluster von CA IdentityMinder-Knoten haben, kann nur ein CAIdentityMinder-Knoten aktiviert sein, wenn Sie Änderungen in derManagement-Konsole vornehmen. Halten Sie alle außer einen CAIdentityMinder-Knoten an, bevor Sie ein CA IdentityMinder-Verzeichnis erstellen oderändern.Gehen Sie wie folgt vor:1. Exportieren Sie die aktuellen CA IdentityMinder-Verzeichniseinstellungen in eineXML-Datei.2. Ändern Sie die XML-Datei, um Ihre Änderungen widerzuspiegeln.3. Klicken Sie auf "Directories" (Verzeichnisse).Die Liste von CA IdentityMinder-Verzeichnissen wird angezeigt.4. Klicken Sie auf den Namen des zu aktualisierenden Verzeichnisses.Die Eigenschaften für das CA IdentityMinder-Verzeichnis werden angezeigt.5. Klicken unten im Eigenschaftsfenster auf "Aktualisieren".6. Geben Sie den Pfad und Dateinamen der XML-Datei für das Aktualisieren des CAIdentityMinder-Verzeichnisses ein, oder suchen Sie nach der Datei. Klicken Sie auf"Fertig stellen".Statusinformationen werden im Verzeichniskonfigurations-Ausgabefeld angezeigt.7. Klicken Sie auf "Fortfahren".188 Konfigurationshandbuch

Aktualisieren von Einstellungen für ein CA IdentityMinder-VerzeichnisLöschen von CA IdentityMinder-VerzeichnissenBevor Sie ein CA IdentityMinder-Verzeichnis löschen, löschen Sie CAIdentityMinder-Umgebungen, die ihm zugeordnet sind.Gehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Directories" (Verzeichnisse).Die Liste von CA IdentityMinder-Verzeichnissen wird angezeigt.2. Aktivieren Sie das Kontrollkästchen links von dem zu löschenden Verzeichnis (oderden Verzeichnissen).3. Klicken Sie auf "Löschen".Eine Bestätigungsmeldung wird angezeigt.4. Klicken Sie auf "OK", um den Löschvorgang zu bestätigen.Kapitel 5: CA IdentityMinder-Verzeichnisse 189

Kapitel 6: CA IdentityMinder-UmgebungenDieses Kapitel enthält folgende Themen:CA IdentityMinder-Umgebungen (siehe Seite 191)Voraussetzungen für das Erstellen von CA IdentityMinder-Umgebungen (siehe Seite 192)Erstellen einer CA IdentityMinder-Umgebung (siehe Seite 193)Zugreifen auf eine CA IdentityMinder-Umgebung (siehe Seite 198)Konfigurieren einer Umgebung für die Bereitstellung (siehe Seite 199)Verwalten von Umgebungen (siehe Seite 203)Verwalten von Konfigurationen (siehe Seite 211)Optimieren der Auswertung von Richtlinienregeln (siehe Seite 218)Role and Task Settings (Rollen- und Aufgabeneinstellungen) (siehe Seite 219)Ändern des Systemmanager-Kontos (siehe Seite 221)Aufrufen des Status einer CA IdentityMinder-Umgebung (siehe Seite 223)CA IdentityMinder-UmgebungenEine CA IdentityMinder-Umgebung ist eine Ansicht eines Benutzerspeichers. In einer CAIdentityMinder-Umgebung können Sie Benutzer, Gruppen, Organisationen, Aufgabenund Rollen verwalten. Außerdem können Sie den Benutzern Konten in verwaltetenEndpunkten, zum Beispiel E-Mail-Konten oder andere Anwendungen, zur Verfügungstellen.Mithilfe der Management-Konsole können Sie die folgenden Aufgaben ausführen:■■Erstellen, Ändern oder Löschen einer CA IdentityMinder-UmgebungExportieren und Importieren einer CA IdentityMinder-Umgebung■■■Konfigurieren der erweiterten EinstellungenImportieren von Rollen und AufgabenZurücksetzen des Systemmanager-KontosKapitel 6: CA IdentityMinder-Umgebungen 191

Voraussetzungen für das Erstellen von CA IdentityMinder-UmgebungenVoraussetzungen für das Erstellen von CAIdentityMinder-UmgebungenBevor Sie anfangen, verwenden Sie das Arbeitsblatt in der folgenden Tabelle, um dieerforderlichen Informationen zu erfassen:Arbeitsblatt für die Konfiguration einer CA IdentityMinder-UmgebungErforderliche InformationenWertEin von Ihnen gewählter, aussagekräftiger CAIdentityMinder-Umgebungsname.Beispiel: MeineUmgebungEine Basis-URL, die CA IdentityMinder verwendet, um eineUmleitungs-URL für die Standardkennwortrichtlinie für dieUmgebung zu bilden.Beispiel:http://server.yourcompany.orgEin Alias, der der URL für den Zugriff auf geschützteAufgaben in der Umgebung hinzugefügt wird.Beispiel:http://server.yourcompany.org/iam/im/aliasEin Alias, der der URL für den Zugriff auf öffentlicheAufgaben, zum Beispiel Selbstregistrierungsaufgaben undAufgaben in Bezug auf vergessene Kennwörter, hinzugefügtwird.Beispiel:http://server.yourcompany.org/iam/im/public_alias/index.jsp?task.tag=SelfRegistrationHinweis: Wenn Ihre Umgebung keine öffentlichen Aufgabeneinschließt, ist es nicht erforderlich, einen öffentlichen Aliasanzugeben.Wenn Sie einen öffentlichen Alias angegeben haben, derName eines vorhandenen Benutzers, der als öffentlicherBenutzer fungiert. CA IdentityMinder verwendet beimZugriff auf öffentliche Aufgaben anstelle derAnmeldeinformationen des Benutzers dieAnmeldeinformationen des öffentlichen Benutzers.Name von CA IdentityMinder (siehe Seite 103)192 Konfigurationshandbuch

Erstellen einer CA IdentityMinder-UmgebungArbeitsblatt für die Konfiguration einer CA IdentityMinder-UmgebungErforderliche InformationenWertDer Name des Bereitstellungsverzeichnisses, wenn die CAIdentityMinder-Umgebung die Bereitstellung unterstützt.Die eindeutige Kennung für einen vorhandenen Benutzer,der die CA IdentityMinder-Umgebung verwaltet.Zum Beispiel: MeinAdminDer Name des SiteMinder-Agenten oder derAgentengruppe, der bzw. die die CAIdentityMinder-Umgebung schützt, wenn CA IdentityMindermit SiteMinder integriert wird.Erstellen einer CA IdentityMinder-UmgebungÜ ber CA IdentityMinder-Umgebungen können Sie Objekte in einem Verzeichnis miteinem Rollen- und Aufgabensatz verwalten. Verwenden Sie den CAIdentityMinder-Umgebungs-Assistenten, der Sie schrittweise durch die Erstellung einerCA IdentityMinder-Umgebung leitet.Beachten Sie vor der Erstellung einer CA IdentityMinder-Umgebung Folgendes:■■Gehen Sie davon aus, dass Sie einen LDAP-Benutzerspeicher verwenden und einenBenutzercontainer wie ou=People in der Verzeichniskonfigurationsdatei(directory.xml) für Ihr CA IdentityMinder-Verzeichnis konfiguriert haben.Vergewissern Sie sich, dass die Benutzer, die Sie auswählen, wenn Sie die CAIdentityMinder-Umgebung erstellen, in diesem Container vorhanden sind. DieAuswahl eines Benutzerkontos, das im Benutzercontainer nicht vorhanden ist, kannFehler verursachen.Wenn Sie eine CA IdentityMinder-Umgebung konfigurieren, um einLDAP-Benutzerverzeichnis mit einer flachen Benutzerstruktur zu verwalten, mussdas Profil für den ausgewählten Benutzer die Organisation des Benutzerseinschließen. Um sicherzustellen, dass das Profil eines Benutzers richtig konfiguriertwird, fügen Sie dem physischen Attribut, das dem bekannten Attribut%ORG_MEMBERSHIP% in der directory.xml-Datei (siehe Seite 87) entspricht, denNamen der Organisation des Benutzers hinzu. Wenn zum Beispiel die Beschreibungdes physischen Attributs dem bekannten Attribut %ORG_MEMBERSHIP% in derdirectory.xml-Datei zugeordnet ist und der Benutzer zur Organisation "Employees"gehört, muss das Profil des Benutzers das Attribut-/Wertpaar"description=Employees" enthalten.Kapitel 6: CA IdentityMinder-Umgebungen 193

Erstellen einer CA IdentityMinder-UmgebungGehen Sie wie folgt vor:1. Wenn CA IdentityMinder einen Richtlinienserver-Cluster verwendet, beenden Siealle bis auf einen Richtlinienserver.2. Wenn Sie einen Cluster von CA IdentityMinder-Knoten haben, beenden Sie alle bisauf einen CA IdentityMinder-Knoten.3. Klicken Sie in der Managementkonsole auf "Umgebungen".4. Klicken Sie auf "Neu".Der CA IdentityMinder-Umgebungs-Assistent wird geöffnet.5. Geben Sie die folgenden Informationen an:■■Umgebungs-NameGibt einen eindeutigen Namen für die Umgebung an.BeschreibungBeschreibt die Umgebung.■■Protected Alias (Geschützter Alias)Gibt einen eindeutigen Namen, zum Beispiel Mitarbeiter, an. Dieser Alias wirdder URL für den Zugriff auf geschützte Aufgaben in der CAIdentityMinder-Umgebung hinzugefügt. Wenn dieser Alias zum Beispiel"employees" ist, lautet die URL für den Zugriff auf die Mitarbeiterumgebunghttp://myserver.mycompany.com/iam/im/employees.Hinweis: Für den Alias wird die Groß-/Kleinschreibung berücksichtigt, und erdarf keine Leerzeichen enthalten. Es wird empfohlen, für den AliasKleinbuchstaben und keine Satzzeichen oder Leerzeichen zu verwenden.Base URL (Basis-DN)Gibt die URL für CA IdentityMinder an. Die URL erfordert einen Hostnamen;"localhost" ist nicht zulässig. Schließen Sie auch nicht den Alias ein, zumBeispiel http://myserver.mycompany.com/iam/im.Wenn Sie einen Web-Agenten verwenden, vergewissern Sie sich, dass dieBasis-URL geändert wurde und die URL des Web-Agenten widerspiegelt.Hinweis: Wenn Sie einen Web-Agenten verwenden, um CAIdentityMinder-Ressourcen zu schützen, geben Sie im Feld "Basis-URL" keinePortnummer an. Wenn Sie einen Web-Agenten verwenden und die Basis-URLeine Portnummer enthält, funktionieren die Links zu CAIdentityMinder-Aufgaben nicht ordnungsgemäß.Weitere Informationen zum Schutz von CA IdentityMinder-Ressourcen findenSie im Installationshandbuch für Ihren Anwendungsserver.Klicken Sie auf "Weiter".6. Wählen Sie ein CA IdentityMinder-Verzeichnis aus, um es der Umgebungzuzuordnen, die Sie erstellen, und klicken Sie auf "Weiter".194 Konfigurationshandbuch

Erstellen einer CA IdentityMinder-Umgebung7. Wenn die CA IdentityMinder-Umgebung die Bereitstellung unterstützt, wählen Sieden entsprechenden Bereitstellungsserver für die Verwendung aus.Hinweis: Sie werden nicht aufgefordert, einen Bereitstellungsserver auszuwählen,wenn Sie ein Bereitstellungsverzeichnis als CA IdentityMinder-Verzeichnisausgewählt haben.8. Konfigurieren Sie die Unterstützung von öffentlichen Aufgaben. Diese Aufgabensind in der Regel Self-Service-Aufgaben wie Selbstregistrierungsaufgaben undAufgaben in Bezug auf vergessene Kennwörter. Benutzer müssen sich nichtanmelden, um auf öffentliche Aufgaben zuzugreifen.Hinweis: Damit Benutzer Self-Service-Aufgaben verwenden können, konfigurierenSie die Unterstützung von öffentlichen Aufgaben.a. Geben Sie einen eindeutigen Namen an, der zur URL für den Zugriff auföffentliche Aufgaben hinzugefügt wird.Beispiel: Mithilfe der folgenden URL können Sie auf die standardmäßigeSelbstregistrierungsaufgabe zugreifen:http://myserver.mycompany.com/iam/im/alias/index.jsp?task.tag=SelfRegistrationIn dieser URL ist alias der eindeutige Name, den Sie angeben.b. Geben Sie eins der folgenden vorhandenen Benutzerkonten an, das alsöffentliches Benutzerkonto dient. CA IdentityMinder ermöglicht mit diesemKonto unbekannten Benutzern den Zugriff auf öffentliche Aufgaben ohne dieAngabe von Anmeldeinformationen.– LDAP-Benutzer geben die eindeutige Kennung oder den zugehörigen DNdes öffentlichen Benutzerkontos ein. Vergewissern Sie sich, dass dieserWert dem bekannten Attribut %USER_ID% (siehe Seite 79) zugeordnet ist.Wenn der DN des Benutzer-DN zum Beispiel uid=Admin1, ou=People,ou=Employees, ou=NeteAuto lautet, geben Sie "Admin1" ein.– Benutzer von relationalen Datenbanken geben den Wert, der dembekannten Attribut %USER_ID% in der Verzeichniskonfigurationsdateizugeordnet ist, oder die eindeutige Kennung für den Benutzer ein.Klicken Sie auf "Validieren", um die vollständige Kennung des Benutzers anzuzeigen.9. Wählen Sie die Aufgaben und Rollen aus, die für diese Umgebung erstellt werdensollen. Sie können die folgenden Aufgaben ausführen:■Create default roles (Standardrollen erstellen)Erstellt einen Satz von Standardaufgaben und -rollen, die in der Umgebungverfügbar sind. Administratoren können diese Aufgaben und Rollen alsVorlagen verwenden, um neue Aufgaben und Rollen in der Benutzerkonsole zuerstellen.Kapitel 6: CA IdentityMinder-Umgebungen 195

Erstellen einer CA IdentityMinder-Umgebung■■Create only the system manager role (Nur die Rolle des Systemmanagerserstellen)Erstellt nur die Rolle des Systemmanagers und die der Rolle zugeordnetenAufgaben.Die Rolle des Systemmanagers ist erforderlich, um auf die Umgebungzuzugreifen.Ein Systemmanager kann neue Aufgaben und Rollen in der Benutzerkonsoleerstellen.Import roles from the file (Rollen aus der Datei importieren)Importiert eine Rollendefinitionsdatei, die Sie aus einer anderen CAIdentityMinder-Umgebung exportiert haben.Hinweis: Damit die CA IdentityMinder-Umgebung verwendet werden kann,muss die Rollendefinitionsdatei mindestens die Rolle des Systemmanagers odereine Rolle mit ähnlichen Aufgaben umfassen.Wählen Sie die Optionsschaltfläche "Import roles from the file" (Rollen aus derDatei importieren) aus, und geben Sie den Pfad und Dateinamen derRollendefinitionsdatei ein oder suchen Sie nach der zu importierenden Datei.10. Wählen Sie Rollendefinitionsdateien aus, um Sätze von Standardaufgaben für IhreUmgebung zu erstellen, und klicken Sie auf "Weiter".Rollendefinitionsdateien sind XML-Dateien, die einen Satz von Aufgaben und Rollendefinieren, die für die Unterstützung bestimmter Funktionen erforderlich sind.Wenn Sie zum Beispiel Active Directory- und UNIX NIS-Endpunkte verwaltenmöchten, wählen Sie die entsprechenden Rollendefinitionsdateien aus.Hinweis: Dieser Schritt ist optional. Wenn Sie keine zusätzlichen Standardaufgabenzur Unterstützung neuer Funktionen erstellen möchten, überspringen Sie diesesFenster.11. Definieren Sie einen Benutzer als Systemmanager für diese Umgebung wie folgt:a. Geben Sie im Feld "System Manager" (Systemmanager) den Wert ein, der dembekannten Attribut %USER_ID% in der Verzeichniskonfigurationsdateizugeordnet ist, oder geben Sie eins der folgenden Benutzerkonten an:– LDAP-Benutzer geben die eindeutige Kennung oder den zugehörigen DNdes Benutzers ein. Wenn der DN des Benutzer-DN zum Beispieluid=Admin1, ou=People, ou=Employees, ou=NeteAuto lautet, geben Sie"Admin1" ein.– Benutzer von relationalen Datenbanken geben die eindeutige Kennung fürden Benutzer ein.196 Konfigurationshandbuch

Erstellen einer CA IdentityMinder-Umgebungb. Klicken Sie auf "Hinzufügen".CA IdentityMinder fügt die vollständige Kennung des Benutzers in der Liste mitBenutzern hinzu.c. Klicken Sie auf "Weiter".Beachten Sie beim Festlegen des Systemmanagers Folgendes:■■Der Systemmanager darf nicht der gleiche Benutzer wie der Administrator desBenutzerspeichers sein.Sie können mehrere Systemmanager für die Umgebung angeben. Sie könnenjedoch nur den ersten Systemmanager in der Management-Konsole angeben.Um zusätzliche Systemmanager festzulegen, weisen Sie den entsprechendenBenutzern die Rolle des Systemmanagers in der Benutzerkonsole zu.12. Geben Sie im Feld "Inbound Administrator" (Administrator für Eingehendes) ein CAIdentityMinder-Administratorkonto an, das Admin-Aufgaben ausführen kann, dieeingehenden Zuordnungen zugeordnet sind.Der Benutzer muss alle diese Aufgaben für einen beliebigen Benutzer ausführenkönnen. Die Rolle "Manager für Bereitstellungssynchronisierung" enthält dieBereitstellungsaufgaben, die in den eingehenden Standardzuordnungen enthaltensind.13. Geben Sie ein Kennwort für den Schlüsselspeicher ein. Dabei handelt es sich um dieDatenbank mit Schlüsseln, die zum Verschlüsseln und Entschlüsseln von Datenverwendet werden.Die Definition dieses Kennworts ist eine Voraussetzung für das Definierendynamischer Schlüssel. Sie können das Kennwort ändern, nachdem Sie dieUmgebung mithilfe der Aufgaben "System", "Geheime Schlüssel" erstellt haben.Eine Seite wird angezeigt, auf der die Einstellungen für die Umgebungzusammengefasst werden.14. Ü berprüfen Sie die Einstellungen für die Umgebung. Klicken Sie auf "Vorherige", umdie Einstellungen zu ändern, oder auf "Fertig stellen", um die CAIdentityMinder-Umgebung mit den aktuellen Einstellungen zu erstellen.Im Fenster "Environment Configuration Output"(Umgebungskonfigurations-Ausgabe) wird der Verlauf der Umgebungserstellungangezeigt.15. Klicken Sie auf "Fortfahren", um den CA IdentityMinder-Umgebungsassistenten zubeenden.16. Starten Sie die Umgebung.Klicken Sie auf den Namen der Umgebung und anschließend auf "Starten".17. Wenn Sie in Schritt 1 Richtlinienserver beendet haben, starten Sie diese jetzt neu.Kapitel 6: CA IdentityMinder-Umgebungen 197

Zugreifen auf eine CA IdentityMinder-UmgebungZugreifen auf eine CA IdentityMinder-UmgebungNachdem Sie eine CA IdentityMinder-Umgebung erstellt haben, können Sie daraufzugreifen, indem Sie eine URL in einem Browser eingeben.Hinweis: Aktivieren Sie JavaScript in dem Browser, den Sie verwenden, um auf dieManagement-Konsole zuzugreifen.Das Format der URL hängt davon ab, wie Sie die Umgebung konfiguriert haben, und aufwelche Art von Aufgabe Sie zugreifen möchten.■Um über die Benutzerkonsole auf geschützte Aufgaben zuzugreifen, verwenden Siedie folgenden URL:http://Hostname/iam/im/aliasHostnamealiasDefiniert den vollqualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist - zum Beispiel myserver.mycompany.com.Definiert den Alias des Umgebungs-Alias, zum Beispiel employees.Melden Sie sich bei der CA IdentityMinder-Umgebung mit einem privilegiertenAdministratorkonto an, zum Beispiel mit dem Systemmanager-Konto, das Sie für dieCA IdentityMinder-Umgebung erstellt haben.Hinweis: Alle CA IdentityMinder-Aufgaben sind geschützt, außer wenn Sieöffentliche Aufgaben konfigurieren.■Um auf öffentliche Aufgaben zuzugreifen, für die Benutzer keineAnmeldeinformationen angeben müssen, verwenden Sie eine URL mit demfolgenden Format:http://Hostname/iam/im/alias/index.jsp?task.tag=tasktagHostnameDefiniert den vollqualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist, zum Beispiel myserver.mycompany.com.198 Konfigurationshandbuch

Konfigurieren einer Umgebung für die BereitstellungaliasDefiniert den Alias für öffentliche Aufgaben, zum Beispiel Self-Service.task_tagDefiniert das Tag, dass die Aufgabe startet.Sie geben das Aufgaben-Tag an, wenn Sie eine Aufgabe in der Benutzerkonsolekonfigurieren.Die Aufgaben-Tags für die Standardaufgaben für die Selbstregistrierung unddas Zurücksetzen vergessener Kennwörter sind "SelfRegistration" und"ForgottenPasswordReset".Hinweis: Weitere Informationen finden Sie im Administrationshandbuch.Konfigurieren einer Umgebung für die BereitstellungSie können eine Umgebung für die Bereitstellung konfigurieren, nachdem Sie den Zugriffauf den Bereitstellungsserver aktiviert haben (siehe Seite 174).Erstellen Sie dann einen besonderen CA IdentityMinder-Benutzer, der als "InboundAdministrator" (Administrator für Eingehendes) bezeichnet wird, erstellen Sie eineVerbindung mit dem Bereitstellungsserver, und konfigurieren Sie die eingehendeSynchronisierung im Bereitstellungsmanager.Hinweis: Immer, wenn Sie die Bereitstellungseigenschaften für eine Umgebung ändern,muss der Anwendungsserver neu gestartet werden, damit die Änderungen wirksamwerden.Konfigurieren des Inbound Administrators (Administrator für Eingehendes)Damit die eingehende Synchronisierung funktioniert, erstellen Sie einen besonderen CAIdentityMinder-Benutzer, der als Inbound Administrator bezeichnet wird. In früherenVersionen von CA IdentityMinder wurde der Inbound Administrator als Corporate Userbezeichnet. Bei diesem Benutzerkonto meldet sich kein Benutzer an; stattdessen wird esvon CA IdentityMinder intern verwendet. Erstellen Sie dieses Benutzerkonto dennoch,und ordnen Sie ihm die entsprechenden Aufgaben zu.Gehen Sie wie folgt vor:1. Melden Sie sich bei der CA IdentityMinder-Umgebung als Benutzer mit der Rolle desSystemmanagers an.2. Erstellen Sie einen Benutzer. Sie können den Benutzer zur Erinnerung an seinenZweck inbound nennen.Kapitel 6: CA IdentityMinder-Umgebungen 199

Konfigurieren einer Umgebung für die Bereitstellung3. Wählen Sie "Admin-Rollen", "Admin-Rolle ändern" und anschließend eine Rolle aus,die die Aufgaben enthält, die Sie für die Synchronisierung verwenden.■■■Bereitstellung: Benutzer erstellenProvisioning Enable/Disable User (Bereitstellung: Benutzeraktivieren/deaktivieren)Bereitstellung: Benutzer ändernHinweis: Wenn Sie die Standardsynchronisierungsaufgaben nicht geändert haben,verwenden Sie die Rolle "Manager für Bereitstellungssynchronisierung".4. Fügen Sie auf der Registerkarte "Mitglieder" eine Mitgliederrichtlinie hinzu, dieFolgendes einschließt:■■Ein Mitgliederregel, welcher der neue Benutzer entspricht.Eine Umfangsregel, die allen Benutzern Zugriff gibt, die von Änderungen amBereitstellungsverzeichnis betroffen sind, die eine eingehendeSynchronisierung auslösen.5. In der Managementkonsole:a. Wählen Sie die Umgebung aus.b. Wählen Sie "Advanced Settings" (Erweiterte Einstellungen), "Provisioning"(Bereitstellung) aus.c. Geben Sie die Organisation für das Feld "Creating Inbound Users" (EingehendeBenutzer erstellen) ein, wenn das CA IdentityMinder-Verzeichnis eineOrganisation enthält.Diese Organisation ist diejenige, in der Benutzer erstellt werden, wenneingehende Synchronisierung auftritt. Wenn zum Beispiel ein Benutzer imBereitstellungsverzeichnis hinzugefügt wird, fügt CA IdentityMinder denBenutzer zu dieser Organisation hinzu.200 Konfigurationshandbuch

Konfigurieren einer Umgebung für die Bereitstellungd. Geben Sie in das Feld (Administrator für Eingehendes) die Benutzer-ID desBenutzers ein, den Sie in Schritt 2 erstellt haben.e. Klicken Sie auf "Validieren", um zu bestätigen, dass die Benutzer-ID akzeptiertwurde - wie im folgenden Beispiel zu sehen ist, in dem die vollständigeBenutzer-ID unter der eingegebenen Benutzer-ID angezeigt wird.f. Ändern Sie andere Felder in diesem Fenster. Keine Änderungen sinderforderlich.Ändern Sie nur etwas, wenn Sie verstehen, wie die Felder interagieren. UmDetails zu jedem Feld zu erhalten, klicken Sie auf die Hilfeverknüpfung in demFenster.Herstellen einer Verbindung zwischen der Umgebung und demBereitstellungsserverGehen Sie wie folgt vor:1. Klicken Sie in der Managementkonsole auf "Umgebungen".Eine Liste der vorhandenen Umgebungen wird angezeigt.2. Klicken Sie auf den Namen der Umgebung, die Sie dem Bereitstellungsserverzuordnen möchten.3. Klicken Sie im Feld "Bereitstellungsserver" auf das Symbol mit dem Rechtspfeil.Das Fenster "Provisioning Properties" (Bereitstellungseigenschaften) wird geöffnet.4. Wählen Sie den gewünschten Bereitstellungsserver aus.5. Klicken Sie im unteren Bereich des Fensters auf "Speichern".6. Konfigurieren Sie die Synchronisierung im Bereitstellungsmanager (siehe Seite 201).Konfigurieren der Synchronisierung im BereitstellungsmanagerEingehende Synchronisierung hält CA IdentityMinder im Hinblick auf Änderungen aufdem Laufenden, die im Bereitstellungsverzeichnis auftreten. Zu den Änderungengehören diejenigen, die mithilfe des Bereitstellungsmanagers vorgenommen wurden,und Änderungen in Endpunkten, für die der Bereitstellungsserver einen Connector hat.Jeder Bereitstellungsserver unterstützt eine einzelne Umgebung. Sie können jedochSicherungsumgebungen auf unterschiedlichen Systemen in einem Cluster konfigurieren,falls die aktuelle Umgebung nicht verfügbar ist.Kapitel 6: CA IdentityMinder-Umgebungen 201

Konfigurieren einer Umgebung für die BereitstellungGehen Sie wie folgt vor:1. Wählen Sie "Start", "CA Identity Manager", "Bereitstellungsmanager".2. Klicken Sie auf "System"," CA IdentityMinder Setup".3. Geben Sie im Feld "Hostname" den Namen des Systems an, auf dem der CAIdentityMinder-Server installiert ist.4. Geben Sie im Feld "Port" die Portnummer des Anwendungsservers ein.5. Geben Sie im Feld "Environment name" (Umgebungsname) den Alias für dieUmgebung ein.6. Wählen Sie "Gesicherte Verbindung" aus, wenn Sie das HTTPS-Protokoll für dieKommunikation mit dem CA IdentityMinder-Server verwenden möchten, statt dasHTTP-Protokoll zu verwenden und die einzelnen Benachrichtigungen zuverschlüsseln.7. Klicken Sie auf "Hinzufügen".8. Wiederholen Sie die Schritte 3-6 für jede Sicherungsversion der Umgebung.Wenn der Anwendungsserver für die aktuelle Umgebung nicht verfügbar ist, wirdCA IdentityMinder in einer Sicherungsumgebung ausgeführt. Sie können dieaktuelle Umgebung und die Sicherungsumgebungen neu anordnen, um dieReihenfolge für den Failover-Befehl festzulegen.9. Wenn es sich um die erste Umgebung handelt, geben Sie in die Felder"Gemeinsamer geheimer Schlüssel" das Kennwort ein, das während der CAIdentityMinder-Installation für den Benutzer für eingebettete Komponenteneingegeben wurde.Hinweis: Diese Felder gelten nicht, wenn FIPS in dieser Installation aktiviert ist.10. Legen Sie die Protokollebene folgendermaßen fest:■■■■■Kein Protokoll - Keine Informationen werden in die Protokolldatei geschrieben.Fehler - Es werden nur Fehlermeldungen protokolliert.Info - Fehler- und Informationsmeldungen werden protokolliert (Standard).Warnung - Fehler-, Warn- und Informationsmeldungen werden protokolliert.Debug - Alle Informationen werden protokolliert.11. Starten Sie den Anwendungsserver neu, bevor Sie sich bei der Umgebunganmelden.Hinweis: Ein Protokoll zu eingehenden Synchronisierungsvorgängen und allenProblemen, die während der Synchronisierung aufgetreten sind, finden Sie in derfolgenden Datei:PSHOME\logs\etanotify.log202 Konfigurationshandbuch

Verwalten von UmgebungenImportieren von benutzerdefinierten BereitstellungsrollenWenn Sie die Umgebung erstellen, können Sie die Standardrollen oder einebenutzerdefinierte Rollendefinitionsdatei verwenden, die Sie erstellen. Wenn Siebenutzerdefinierte Rollendefinitionen importieren, importieren Sie auch dieRollendefinitionen, die ausschließlich für die Bereitstellung gelten. Nachdem Sie dieUmgebung erstellt haben, importieren Sie die Rollendefinitionen aus der Datei"ProvisioningOnly-RoleDefinitions.xml", die sich in einem der folgenden Ordnerbefindet:admin_tools/ProvisioningOnlyRoleDefinitions/Organizationadmin_tools/ProvisioningOnlyRoleDefinitions/NoOrganizationDer Standardspeicherort für admin_tools ist:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsKontosynchronisierung für die Aufgabe "Benutzerkennwort zurücksetzen"Um die Bereitstellung für eine CA IdentityMinder-Umgebung zu aktivieren, importierenSie eine Konfigurationsdatei namens ProvisioningOnly-RoleDefinitions.xml, die dieRollen und Aufgaben für die Benutzereinrichtung erstellt.In dieser Datei ist die Standardeinstellung der Kontosynchronisierung für die Aufgabe"Benutzerkennwort zurücksetzen" deaktiviert. (Bevor Sie die Bereitstellung aktivieren,ist die Synchronisierungseinstellung auf "Bei Abschluss der Aufgabe" gesetzt.)Um durch das Zurücksetzen des Benutzerkennworts eine Kontosynchronisierungauszulösen, stellen Sie die Kontosynchronisierungsoption ein, nachdem Sie die DateiProvisioningOnly-RoleDefinitions.xml importiert haben, um die Bereitstellung zuaktivieren.Verwalten von UmgebungenIn diesem Abschnitt wird die Verwaltung einer Umgebung beschrieben.Kapitel 6: CA IdentityMinder-Umgebungen 203

Verwalten von UmgebungenÄndern von CA IdentityMinder-UmgebungseigenschaftenIm Fenster "CA IdentityMinder Environment Properties" (Umgebungseigenschaften) inder Management-Konsole können Sie die folgenden Aufgaben ausführen:■■Zeigen Sie die aktuellen Einstellungen für die Umgebung an.Ändern Sie die Beschreibung, die Basis-URL sowie geschützte und öffentlicheAliasnamen.■■■Importieren Sie nach einem Upgrade eine vorhandene CAIdentityMinder-Umgebung.Hinweis: Weitere Informationen zum Importieren vorhandener CAIdentityMinder-Umgebungen finden Sie im Abschnitt zu Upgrades imInstallationshandbuch.Starten und Anhalten von UmgebungenSeiten für den Zugriff, um die folgenden Aufgaben zu konfigurieren:– Erweiterte EinstellungenKonfiguriert erweiterte Funktionen, einschließlich Funktionen, die mithilfe derCA IdentityMinder-APIs erstellt werden.– Role and Task Settings (Rollen- und Aufgabeneinstellungen)Importiert eine Rollendefinitionsdatei, die Sie aus einer anderen CAIdentityMinder-Umgebung exportiert haben.– System Manager (Systemmanager)Weist Systemmanager-Rollen zu.Gehen Sie wie folgt vor:1. Wenn CA IdentityMinder einen SiteMinder-Richtlinienserver-Cluster verwendet,beenden Sie alle bis auf einen Richtlinienserver.2. Wenn Sie einen Cluster von CA IdentityMinder-Knoten haben, beenden Sie alle bisauf einen CA IdentityMinder-Knoten.3. Klicken Sie auf "Umgebungen".Das CA IdentityMinder-Umgebungsfenster wird mit einer Liste von CAIdentityMinder-Umgebungen angezeigt.204 Konfigurationshandbuch

Verwalten von Umgebungen4. Klicken Sie auf den Namen der zu ändernden CA IdentityMinder-Umgebung.Das Fenster "CA IdentityMinder Properties" (Eigenschaften) wird mit den folgendenEigenschaften angezeigt:OIDNameGibt eine eindeutige Kennung für die Umgebung an. CA IdentityMindergeneriert diese Kennung, wenn Sie eine CA IdentityMinder-Umgebungerstellen.Sie verwenden die OID, wenn Sie das Entfernen einer Aufgabe aus einerAufgabenpersistenz-Datenbank konfigurieren. Weitere Informationen hierzufinden Sie im Installationshandbuch.Gibt den eindeutigen Namen der CA IdentityMinder-Umgebung an.BeschreibungGibt eine Beschreibung der CA IdentityMinder-Umgebung an.CA IdentityMinder-VerzeichnisGibt das CA IdentityMinder-Verzeichnis an, dem die Umgebung zugeordnet ist.Enable Verbose Log Output (Ausführliche Protokollierungsausgabe aktivieren)Steuert, wie viele Informationen CA IdentityMinder im Umgebungsprotokollaufzeichnet und anzeigt, wenn Sie eine Umgebung importieren. DasUmgebungsprotokoll wird im Statusfenster in der Management-Konsoleangezeigt, wenn Sie eine Umgebung oder andere Objektdefinitionen aus einerDatei importieren.Hinweis: Wenn Sie dieses Kontrollkästchen aktivieren, kann sich diesbeträchtlich auf die Leistung auswirken.Das ausführliche Protokoll schließt Validierungs- und Bereitstellungsmeldungenfür jedes Objekt (Aufgabe, Fenster, Rolle und Richtlinie) und die zugehörigenAttribute in der Umgebung ein.Um das ausführliche Protokoll anzuzeigen, aktivieren Sie diesesKontrollkästchen, und speichern Sie die Umgebungseigenschaften. Wenn SieRollen oder andere Einstellungen aus einer Datei importieren, werden diezusätzlichen Informationen im Protokoll angezeigt.BereitstellungsserverGibt das Bereitstellungsverzeichnis an, das als Benutzerspeicher für dieBereitstellung verwendet wird.Klicken Sie auf die Schaltfläche mit dem Rechtspfeil, um dasBereitstellungsverzeichnis auf der Seite "Provisioning Properties"(Bereitstellungseigenschaften) zu konfigurieren.Kapitel 6: CA IdentityMinder-Umgebungen 205

Verwalten von UmgebungenVersionDefiniert die Versionsnummer von CA IdentityMinder.Base URL (Basis-DN)Gibt den Teil der CA IdentityMinder-URL an, die nicht den geschützten oderöffentlichen Alias für die Umgebung enthält.CA IdentityMinder verwendet die Basis-URL für die Bildung derUmleitungs-URL, die auf die Kennwortdienst-Aufgabe in derStandardkennwortrichtlinie für die Umgebung hinweist.Protected Alias (Geschützter Alias)Definiert den Namen der Basis-URL für den Zugriff auf geschützte Aufgaben inder Benutzerkonsole für eine CA IdentityMinder-Umgebung.Ö ffentliches AliasDefiniert den Namen der Basis-URL für den Zugriff auf öffentliche Aufgaben,zum Beispiel Selbstregistrierungsaufgaben und Aufgaben in Bezug aufvergessene Kennwörter.Public User (Ö ffentlicher Benutzer)Definiert das Benutzerkonto, das CA IdentityMinder anstelle derAnmeldeinformationen des Benutzers für den Zugriff auf öffentliche Aufgabenverwendet.Job Timeout (Job-Zeitlimit)StatusBestimmt, wie lange CA IdentityMinder nach dem Ü bermitteln einer Aufgabewartet, bevor eine Statusmeldung angezeigt wird.Dieser Wert wird auf der Seite "User Console" (Benutzerkonsole) in "ErweiterteEinstellungen" festgelegt.Hält die CA IdentityMinder-Umgebung an oder startet sie neu.Migrate Task Persistence Data from CA IdentityMinder 8.1(Aufgabenpersistenz-Daten aus CA IdentityMinder 8.1 migrieren)Migriert Daten aus einer CA IdentityMinder 8.1-Aufgabenpersistenz-Datenbankin eine CA IdentityMinder r12.6.1-Aufgabenpersistenz-Datenbank.Weitere Informationen dazu finden Sie im Installationshandbuch.Hinweis: Die Schaltfläche "Migrate Task Persistence Data from CA IdentityMinder8.1" wird nur in Umgebungen angezeigt, die in Vorgängerversionen von CAIdentityMinder erstellt und zu CA IdentityMinder r12.6.1 migriert wurden.5. Ändern Sie ggf. die Beschreibung, die Basis-URL oder den geschützten bzw.öffentlichen Alias.206 Konfigurationshandbuch

Verwalten von Umgebungen6. Wenn Sie Umgebungseigenschaften geändert haben, starten Sie die CAIdentityMinder-Umgebung neu.7. Wenn Sie in Schritt 1 Richtlinienserver beendet haben, starten Sie diese jetzt neu.UmgebungseinstellungenUmgebungsspezifische Informationen werden in drei Dateien mitUmgebungseinstellungen gespeichert:■■■alias_environment_roles.xmlalias_environment_settings.xmlalias_environment.xmlHinweis: alias bezieht sich auf den Alias für die Umgebung. Sie geben den Alias an,wenn Sie die Umgebung erstellen.Generieren Sie eine ZIP-Datei, die diese Dateien enthält, die die aktuelle Konfigurationwiderspiegeln, wenn Sie die Umgebungseinstellungen exportieren.Nachdem Sie die Umgebungseinstellungen exportiert haben, importieren Sie dieEinstellungen, um eine der folgenden Aufgaben auszuführen:■■■Sie verwalten mehrere Umgebungen mit ähnlichen Einstellungen. In diesem Fallerstellen Sie eine Umgebung mit den erforderlichen Einstellungen, importierendiese Einstellungen in andere Umgebungen, und passen dann die Einstellungen injeder Umgebung nach Bedarf an.Sie migrieren eine Umgebung aus einem Entwicklungssystem in einProduktionssystem.Sie aktualisieren eine vorhandene Umgebung, nachdem Sie ein Upgrade auf eineneue Version von CA IdentityMinder durchgeführt haben.Kapitel 6: CA IdentityMinder-Umgebungen 207

Verwalten von UmgebungenExportieren einer CA IdentityMinder-UmgebungUm eine CA IdentityMinder-Umgebung auf einem Produktionssystem bereitzustellen,exportieren Sie die Umgebung aus einem Entwicklungs- oder Staging-System, undimportieren Sie sie in das Produktionssystem.Hinweis: Wenn Sie eine zuvor exportierte Umgebung importieren, zeigt CAIdentityMinder ein Protokoll in einem Statusfenster in der Management-Konsole an. UmValidierungs- und Bereitstellungsinformationen für jedes verwaltete Objekt und seineAttribute in diesem Protokoll anzuzeigen, wählen Sie das Feld "Enable Verbose LogOutput" (Ausführliche Protokollierungsausgabe aktivieren) auf der Seite "EnvironmentProperties" (Umgebungseigenschaften) aus, bevor Sie die Umgebung exportieren. DieAuswahl des Felds "Enable Verbose Log Output" kann beträchtliche Leistungsproblemebeim Importieren verursachen.Gehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Environments" (Umgebungen).Das CA IdentityMinder-Umgebungsfenster wird mit einer Liste von CAIdentityMinder-Umgebungen angezeigt.2. Wählen Sie die Umgebung aus, die Sie exportieren möchten.3. Klicken Sie auf die Schaltfläche "Exportieren".Ein Dateidownload-Fenster wird angezeigt.4. Speichern Sie die ZIP-Datei an einem Speicherort, auf den das Produktionssystemzugreifen kann.5. Klicken Sie auf "Fertig stellen".Die Umgebungsinformationen werden in eine ZIP-Datei exportiert, die Sie in eineandere Umgebung importieren können.Importieren einer CA IdentityMinder-UmgebungSie können CA IdentityMinder-Umgebungseinstellungen importieren, um eine derfolgenden Aufgaben auszuführen:■■■Sie verwalten mehrere Umgebungen mit ähnlichen Einstellungen. In diesem Fallerstellen Sie eine Umgebung mit den erforderlichen Einstellungen, importierendiese Einstellungen in andere Umgebungen, und passen dann die Einstellungen injeder Umgebung nach Bedarf an.Sie migrieren eine Umgebung aus einem Entwicklungssystem in einProduktionssystem.Sie aktualisieren eine vorhandene Umgebung, nachdem Sie ein Upgrade auf eineneue Version von CA IdentityMinder durchgeführt haben.208 Konfigurationshandbuch

Verwalten von UmgebungenGehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Environments" (Umgebungen).Das CA IdentityMinder-Umgebungsfenster wird mit einer Liste von CAIdentityMinder-Umgebungen angezeigt.2. Klicken Sie auf die Schaltfläche "Importieren".Das Fenster "Umgebung importieren" wird angezeigt.3. Suchen Sie nach der entsprechenden ZIP-Datei, um eine Umgebung zu importieren.4. Klicken Sie auf "Fertig stellen".Die Umgebung wird in CA IdentityMinder importiert.Neustarten einer CA IdentityMinder-UmgebungGehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Environments" (Umgebungen).Das CA IdentityMinder-Umgebungsfenster wird mit einer Liste von CAIdentityMinder-Umgebungen angezeigt.2. Klicken Sie auf den Namen der CA IdentityMinder-Umgebung, die Sie startenmöchten.Das Fenster "CA IdentityMinder Environment Properties"(Umgebungseigenschaften) wird angezeigt.3. Wählen Sie eine der folgenden Optionen aus:Restart Environment (Umgebung neu starten)Wird verwendet, um eine Umgebung anzuhalten und zu starten.BeendenStartenHält eine Umgebung an, die gegenwärtig ausgeführt wird.Startet eine Umgebung, die gegenwärtig nicht ausgeführt wird.Kapitel 6: CA IdentityMinder-Umgebungen 209

Verwalten von UmgebungenLöschen einer CA IdentityMinder-UmgebungVerwenden Sie diesen Vorgang, um eine CA IdentityMinder-Umgebung zu entfernen.Hinweis: Wenn CA IdentityMinder mit SiteMinder für die erweiterte Authentifizierungintegriert wird, löscht CA IdentityMinder auch die SiteMinder-Richtliniendomäne, diedie Umgebung und die Standard-Authentifizierungsschemen schützt, die für dieUmgebung erstellt werden.Gehen Sie wie folgt vor:1. Aktivieren Sie im Fenster "Environments" (Umgebungen) das Kontrollkästchen fürdie zu löschenden CA IdentityMinder-Umgebungen.2. Klicken Sie auf "Löschen".In CA IdentityMinder wird eine Bestätigungsmeldung angezeigt.3. Klicken Sie auf "OK", um den Löschvorgang zu bestätigen.210 Konfigurationshandbuch

Verwalten von KonfigurationenVerwalten von KonfigurationenConfig Xpress ist ein Tool, das mit CA IdentityMinder bereitgestellt wird. Sie könnendieses Tool verwenden, um die Konfigurationen Ihrer CA IdentityMinder-Umgebungenzu analysieren und um mit diesen Konfigurationen zu arbeiten.Vor allem können Sie mit dem Tool Komponenten zwischen Umgebungen verschieben.Config Xpress entdeckt automatisch andere erforderliche Komponenten und fordert Siedazu auf, diese auch zu verschieben. Dies kann Ihnen Arbeit ersparen und das Risiko vonProblemen reduzieren.Gehen Sie wie folgt vor:1. Richten Sie Config Xpress ein (siehe Seite 212).2. Um das Tool verwenden zu können, laden Sie eine CA IdentityMinder-Umgebung(siehe Seite 213) in Config Xpress, um sie zu analysieren.3. Verwenden Sie Config Xpress, um diese Aufgaben für die geladene Umgebungauszuführen:■ Verschieben Sie Komponenten zwischen Umgebungen (siehe Seite 215).■■Veröffentlichen Sie einen PDF-Bericht mit den Systemkomponenten (sieheSeite 216).Zeigen Sie die XML-Konfiguration für eine bestimmte Komponente an (sieheSeite 217).Kapitel 6: CA IdentityMinder-Umgebungen 211

Verwalten von KonfigurationenEinrichten von Config XpressDie Installationsdateien für Config Xpress sind auf dem Installationslaufwerk enthalten,aber das Tool ist nicht installiert.Für Config Xpress gelten die folgenden Softwarevoraussetzungen:■■■■CA IdentityMinder r12.0 und höherWindows-BetriebssystemAdobe Air-LaufzeitumgebungPDF-Reader für die Anzeige von BerichteGehen Sie wie folgt vor:1. Laden Sie die Adobe Air-Laufzeitumgebung von http://get.adobe.com/air herunter,und installieren Sie sie.2. Stellen Sie sicher, dass die Verwaltungstools installiert sind.3. Suchen Sie im folgenden Verzeichnis nach der Installationsdatei für Config Xpress:C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\ConfigXpress4. Führen Sie "Config Xpress.air" aus, um Config Xpress zu installieren.5. Wenn die Installation abgeschlossen ist, wird Config Xpress gestartet.212 Konfigurationshandbuch

Verwalten von KonfigurationenLaden einer Umgebung in Config XpressUm Config Xpress verwenden zu können, müssen Sie mindestens eine Umgebung in dasTool laden. Diese Aufgabe ermöglicht es Ihnen, mit der Umgebung in Config Xpress zuarbeiten.Sie können eine Umgebung direkt von einem CA IdentityMinder-Live-Server in ConfigXpress laden, oder Sie können sie aus einer Umgebungsdatei laden. Wenn Sie eine derBaseline-Umgebungsdateien verwenden, die mit Config Xpress installiert werden,können Sie Ihre Umgebung mit der standardmäßigen Konfiguration vergleichen.Das Laden einer Umgebung kann einige Minuten dauern.Gehen Sie wie folgt vor:1. Ö ffnen Sie Config Xpress.2. So laden Sie eine Live-Umgebung direkt von einem CA IdentityMinder-Server:a. Klicken Sie auf die Registerkarte "Server (Network)" (Server (Netzwerk)).b. Geben Sie den Namen und den Port des CA IdentityMinder-Servers ein.Beispiel:servername.ca.com:8080c. Wählen Sie "HTTPS verwenden" aus, wenn Ihr Server so eingerichtet ist, dassnur HTTPS verwendet werden kann.d. Wählen Sie "12.5 SP7" aus, wenn der Server eine höhere Version als r12.5 SP6hat.e. Klicken Sie auf "Verbinden".f. Wählen Sie eine Umgebung aus der Liste Choose Environment to load (Zuladende Umgebung auswählen) aus, und klicken Sie dann auf "Laden".3. So laden Sie eine Umgebungsdatei, die aus Ihrer CA IdentityMinder-Umgebungexportiert wurde:a. Exportieren Sie eine CA IdentityMinder-Umgebung.b. Klicken Sie in Config Xpress auf die Registerkarte "File System" (Dateisystem).c. Wählen Sie die Version aus, suchen Sie die Umgebungsdatei, und klicken Siedann auf "Laden".4. So laden Sie eine Baseline-Umgebungsdatei, die mit Config Xpress installiert wurde:a. Klicken Sie auf die Registerkarte "Base Versions" (Basisversionen).b. Wählen Sie die gewünschte Version aus, und klicken Sie dann auf "Auswählen".Config Xpress analysiert die Umgebung und zeigt dann Details der Umgebung an.Kapitel 6: CA IdentityMinder-Umgebungen 213

Verwalten von KonfigurationenSie können jetzt einen Teil oder die gesamte Umgebung als PDF (siehe Seite 216) oderXML (siehe Seite 217) veröffentlichen. Wenn Sie eine zweite Umgebung laden, könnenSie die Umgebungen vergleichen und Komponenten zwischen ihnen verschieben (sieheSeite 215).Beispiel: Config Xpress nach dem Laden einer Baseline-KonfigurationsdateiDieser Screenshot zeigt, wie abhängige Objekte in Config Xpress angezeigt werden:214 Konfigurationshandbuch

Verwalten von KonfigurationenVerschieben von Komponenten aus einer Umgebung in eine andereOhne Config Xpress ist das Verschieben von Komponenten zwischen Staging-Bereicheneine komplexe Aufgabe, die mit hoher Wahrscheinlichkeit fehlschlägt.Wenn Config Xpress für das Verschieben der Komponenten verwendet wird, werden mitdem Tool auch alle erforderlichen Objekte verschoben. Wenn Sie zum Beispiel eineAufgabe verschieben, die ein Fenster erfordert, werden Sie in Config Xpress gefragt, obSie auch die erforderlichen Komponenten auswählen möchten. Config Xpress weiß, dassdie Aufgabe dieses Fenster verwendet und auch zur Zielumgebung verschoben werdensollte.Wenn Sie eine Komponente in eine Live-Umgebung verschieben möchten, wird sie vonConfig Xpress sofort hochgeladen. Wenn Sie die Komponente in eine Umgebungsdateiverschieben möchten, speichern Sie die Komponente als XML-Datei und importieren Siediese Datei dann in die Umgebung.Gehen Sie wie folgt vor:1. Laden Sie die Umgebung, die die Komponente enthält, die Sie verschiebenmöchten.2. Vergleichen Sie diese Umgebung mit einer zweiten:a. Klicken Sie auf "Compare" (Vergleichen).b. Laden Sie die Zielumgebung.Config Xpress zeigt eine Liste der Unterschiede zwischen den beidenUmgebungen an.3. Suchen Sie in der Liste mit den Unterschieden nach einer Komponente, die Sieverschieben möchten. Zum Sortieren der Liste können Sie auf die Spalte "Name"klicken.4. Führen Sie für jede Komponente die folgenden Schritte aus:a. Wählen Sie das Element in der Spalte "Aktion" aus.Config Xpress analysiert die Komponente. Dieser Vorgang kann etwas Zeit inAnspruch nehmen.b. Wenn die Komponente abhängige Komponenten aufweist, wird das Feld "AddModified Dependant Screens" (Geänderte abhängige Fenster hinzufügen)angezeigt. Klicken Sie auf "Ja" oder "Nein", um fortzufahren.Wenn Sie alle zu verschiebenden Komponenten ausgewählt haben, können Siedamit beginnen, die aktualisierten Komponenten zu verschieben.5. Wenn Sie die Komponenten auf einen Live-Server verschieben, klicken Sie auf"Upload To" (Hochladen auf).Die Komponenten werden sofort verschoben.6. Wenn Sie die Komponenten in eine Umgebungsdatei verschieben:Kapitel 6: CA IdentityMinder-Umgebungen 215

Verwalten von Konfigurationena. Klicken Sie auf "Speichern".b. Geben Sie einen Dateinamen ein, und klicken Sie erneut auf "Speichern".Config Xpress speichert alle Komponenten, die Sie in einer XML-Dateiausgewählt haben. Sie können diese XML-Datei jetzt in die eigentlicheZielumgebung importieren.Veröffentlichen von PDF-BerichtenConfig Xpress kann einen Bericht generieren, in dem der aktuelle Status einer CAIdentityMinder-Umgebung dokumentiert wird. Sie können diesen Bericht verwenden,um einen Snapshot einer Produktionsumgebung zu erstellen. Wenn Sie den Berichtgenerieren, wählen Sie aus, ob Sie die vollständige Konfiguration oder nur dieÄnderungen seit der Installation erfassen möchten.Dieser Bericht ist als zukünftige Referenz oder als Teil einesSystemwiederherstellungsplans hilfreich.Gehen Sie wie folgt vor:1. Laden Sie eine Umgebung in Config Xpress.2. Klicken Sie auf "Generate Report" (Bericht generieren).Im Dialogfeld "Generate PDF Report" (PDF-Bericht generieren) können Sie dieSchriftgröße ändern und Text für den Titel oder Deckblätter eingeben. Sie könnenhier auch auswählen, ob Sie alle Konfigurationselemente oder nur neue bzw.geänderte Elemente einschließen möchten.Wichtig! Wenn Sie nicht auf das Feld Only include details of new or modified tasks,screens, roles (Nur Details zu neuen oder geänderten Aufgaben, Fenstern, Rolleneinschließen) klicken, enthält der Bericht die gesamte Umgebung. Die PDF-Datei istdann ca. 2.000 Seiten lang und über 40 MB groß.3. Klicken Sie auf "OK".4. Geben Sie einen Dateinamen ein, und speichern Sie den Bericht. DerSpeichervorgang kann ein paar Minuten dauern - oder viel länger, wenn Sie diegesamte Umgebung veröffentlichen.Der Bericht wird in einem PDF-Reader geöffnet.216 Konfigurationshandbuch

Verwalten von KonfigurationenAnzeigen der XML-KonfigurationConfig Xpress kann die XML-Konfiguration für eine bestimmte Komponente anzeigen.Die Informationen in dieser XML-Datei helfen Ihnen dabei, sich mit einem Systemvertraut zu machen.Gehen Sie wie folgt vor:1. Laden Sie eine Umgebung in Config Xpress.2. Klicken Sie auf eine Komponente im Config Xpress-Fenster.3. Klicken Sie auf "XML anzeigen".Die XML-Konfiguration wird angezeigt:Kapitel 6: CA IdentityMinder-Umgebungen 217

Optimieren der Auswertung von RichtlinienregelnOptimieren der Auswertung von RichtlinienregelnRichtlinienregeln, die eine Gruppe von Benutzern dynamisch identifizieren, werden inder Auswertung von Richtlinien der Rollen Mitglied, Admin und Eigentümer und vonIdentitätsrichtlinien verwendet. Die Auswertung dieser Regeln kann in großen CAIdentityMinder-Implementierungen viel Zeit in Anspruch nehmen.Hinweis: Weitere Informationen zu Mitglieds-, Admin-, Eigentümer- undIdentitätsrichtlinien finden Sie im Administrationshandbuch.Sie können die Auswertungszeit für Regeln mit Benutzerattributen verkürzen, indem Siedie Option für die Auswertung im Arbeitsspeicher aktivieren. Wenn die Option für dieAuswertung im Arbeitsspeicher aktiviert ist, ruft CA IdentityMinder Informationen übereinen zu bewertenden Benutzer aus dem Benutzerspeicher ab und speichert eineRepräsentation dieses Benutzers im Arbeitsspeicher. CA IdentityMinder verwendet dieRepräsentation im Arbeitsspeicher, um die Attributwerte in Bezug auf dieRichtlinienregeln zu vergleichen. Dadurch wird die Anzahl der Aufrufe beschränkt, dieCA IdentityMinder direkt im Benutzerspeicher durchführt.Sie aktivieren die Option für die Auswertung im Arbeitsspeicher für eine Umgebung inder Management-Konsole.Gehen Sie wie folgt vor:1. Ö ffnen Sie die Managementkonsole.2. Wählen Sie "Environments" (Umgebungen), Environment Name,(Umgebungsname), "Advanced Settings" (Erweiterte Einstellungen),"Miscellaneous" (Verschiedene) aus.Die Seite "User Defined Properties" (Benutzerdefinierte Eigenschaften) wirdgeöffnet.3. Geben Sie den folgenden Text im Feld "Property" (Eigenschaft) ein:UseInMemoryEvaluation4. Geben Sie eine der folgenden Zahlen im Feld "Value" (Wert) ein:013Die Auswertung im Arbeitsspeicher ist deaktiviert.Die Auswertung im Arbeitsspeicher ist aktiviert. Wenn diese Option festgelegtist, wird beim Attributvergleich die Groß-/Kleinschreibung berücksichtigt.Die Auswertung im Arbeitsspeicher ist aktiviert. Wenn diese Option festgelegtist, wird beim Attributvergleich die Groß-/Kleinschreibung nicht berücksichtigt.5. Klicken Sie auf "Hinzufügen".218 Konfigurationshandbuch

Role and Task Settings (Rollen- und Aufgabeneinstellungen)CA IdentityMinder fügt die neue Eigenschaft in der Liste der vorhandenenEigenschaften für die Umgebung hinzu.6. Klicken Sie auf "Speichern".Role and Task Settings (Rollen- und Aufgabeneinstellungen)Im Fenster "Role and Task Settings" (Rollen- und Aufgabeneinstellungen) in derManagement-Konsole können Sie Fenster-, Registerkarten-, Rollen- undAufgabeneinstellungen in eine XML-Datei, die als Rollendefinitionsdatei bezeichnetwird, importieren oder aus dieser Datei exportieren. CA IdentityMinder stelltvordefinierte Rollendefinitionsdateien bereit, mit denen Fenster, Registerkarten, Rollenund Aufgaben für eine Reihe von Funktionen erstellt werden. Zum Beispiel gibt es eineRollendefinitionsdatei, die Smart Provisioning unterstützt, und andere Dateien, dieFenster für die Endpunktverwaltung unterstützen.Darüber hinaus können Sie eine Rollendefinitionsdatei verwenden, um die Einstellungenvon einer Umgebung auf mehrere Umgebungen zu übertragen. Führen Sie diefolgenden Aufgaben aus:■■■Konfigurieren Sie Fenster-, Registerkarten-, Aufgaben- und Rolleneinstellungen ineiner Umgebung.Exportieren Sie diese Einstellungen in eine XML-Datei.Importieren Sie die XML-Datei in die gewünschte Umgebung.Exportieren von Rollen- und AufgabeneinstellungenGehen Sie folgendermaßen vor, um Rollen- und Aufgabeneinstellungen zu exportieren.Gehen Sie wie folgt vor:1. Klicken Sie in der Managementkonsole auf "Umgebungen".Eine Liste von CA IdentityMinder-Umgebungen wird angezeigt.2. Klicken Sie auf den Namen der entsprechenden CA IdentityMinder-Umgebung.Das Eigenschaftsfenster für diese Umgebung wird angezeigt.3. Klicken Sie auf "Role and Task Settings" (Rollen- und Aufgaben-Einstellungen) undanschließend auf "Export".4. Klicken Sie auf "Ö ffnen", um die Datei in einem Browserfenster anzuzeigen, oderauf "Speichern", um die Einstellungen in einer XML-Datei zu speichern.Kapitel 6: CA IdentityMinder-Umgebungen 219

Role and Task Settings (Rollen- und Aufgabeneinstellungen)Importieren von Rollen- und AufgabeneinstellungenRollen- und Aufgabeneinstellungen werden in XML-Dateien definiert, die alsRollendefinitionsdateien bezeichnet werden. Sie können vordefinierteRollendefinitionsdateien importieren, um bestimmte CA IdentityMinder-Funktionssätze(zum Beispiel Smart Provisioning) zu unterstützen, oder Rollendefinitionsdateien in eineUmgebung aus einer anderen importieren.Hinweis: Sie können auch Rollendefinitionen für benutzerdefinierte Connectorsimportieren, die mit Connector Xpress erstellt werden. Sie erstellen dieseRollendefinitionsdateien mit dem Generator für Rollendefinitionen. WeitereInformationen finden Sie im Connector Xpress-Handbuch.Gehen Sie folgendermaßen vor, um Rollen- und Aufgabeneinstellungen zu importieren.Gehen Sie wie folgt vor:1. Klicken Sie in der Managementkonsole auf "Umgebungen".Eine Liste von CA IdentityMinder-Umgebungen wird angezeigt.2. Klicken Sie auf den Namen der CA IdentityMinder-Umgebung, in die Sie die RollenundAufgabeneinstellungen importieren möchten.Das Eigenschaftsfenster für diese Umgebung wird angezeigt.3. Klicken Sie auf "Role and Task Settings" (Rollen- und Aufgaben-Einstellungen) undanschließend auf "Importieren".4. Führen Sie eine der folgenden Aktionen aus:■■Wählen Sie eine oder mehrere Rollendefinitionsdateien aus, um Standardrollenund -aufgaben für die Umgebung zu erstellen.Um alle verfügbaren Rollendefinitionsdateien auszuwählen, klicken Sie auf"Select/Deselect All" (Alle auswählen/Gesamte Auswahl aufheben).Geben Sie den Pfad und Dateinamen für die zu importierendeRollendefinitionsdatei ein, oder suchen Sie nach der Datei. Klicken Sie dann auf"Fertig stellen".5. Klicken Sie auf "Fertig stellen".Der Status wird im Ausgabefenster der Rollenkonfiguration angezeigt.6. Klicken Sie zum Beenden auf "Fortfahren".220 Konfigurationshandbuch

Ändern des Systemmanager-KontosErstellen von Rollen und Aufgaben für dynamische EndpunkteMithilfe von Connector Xpress können Sie dynamische Connector konfigurieren, um dieBereitstellung und Verwaltung von SQL-Datenbanken und LDAP-Verzeichnissen zuermöglichen. Sie können den Generator für Rollendefinitionen für jeden dynamischenConnector verwenden, um Aufgaben- und Fensterdefinitionen fürKontoverwaltungsfenster zu erstellen, die in der Benutzerkonsole angezeigt werden.Nachdem Sie den Generator für Rollendefinitionen ausgeführt haben, importieren Siedie sich ergebende Rollendefinitionsdatei (siehe Seite 220) in die Management-Konsole.Hinweis: Weitere Informationen zum Generator für Rollendefinitionen finden Sie imConnector Xpress-Handbuch.Ändern des Systemmanager-KontosEin Systemmanager ist für die Einrichtung und Verwaltung von CAIdentityMinder-Umgebungen verantwortlich. Zu den typischen Aufgaben einesSystemmanagers gehören:■■■Erstellen und Verwalten der anfänglichen UmgebungErstellen und Ändern von Admin-RollenErstellen und Ändern von anderen AdministratorkontenSie erstellen ein Systemmanagerkonto, wenn Sie eine CA IdentityMinder-Umgebungerstellen. Wenn dieses Konto gesperrt ist - zum Beispiel, wenn der Systemmanager dasKennwort vergessen hat -, können Sie das Konto mithilfe desSystemmanager-Assistenten erneut erstellen.Kapitel 6: CA IdentityMinder-Umgebungen 221

Ändern des Systemmanager-KontosDer Systemmanager-Assistent leitet Sie schrittweise durch den Vorgang zum Zuweiseneiner Systemverwaltungsrolle zu einem Benutzer.Beachten Sie vor dem Ändern eines Systemmanagerkontos Folgendes:■■Vergewissern Sie sich, dass Sie einen LDAP-Benutzerspeicher verwenden und einenBenutzercontainer wie ou=People in der Verzeichniskonfigurationsdatei(directory.xml) für Ihr CA IdentityMinder-Verzeichnis konfiguriert haben. Dieausgewählten Benutzer müssen in dem gleichen Container vorhanden sein, in demSie den Systemmanager konfigurieren. Die Auswahl eines Benutzerkontos, das imBenutzercontainer nicht vorhanden ist, kann Fehler verursachen.Wenn die CA IdentityMinder-Umgebung ein Benutzerverzeichnis mit einer flachenBenutzerstruktur verwaltet, muss das Profil des ausgewählten Benutzers auch dieOrganisation einschließen. Um sicherzustellen, dass das Profil eines Benutzersrichtig konfiguriert wird, fügen Sie dem physischen Attribut, das dem bekanntenAttribut %ORG_MEMBERSHIP% in der directory.xml-Datei (siehe Seite 87)entspricht, den Namen der Organisation des Benutzers hinzu. Wenn zum Beispieldie Beschreibung des physischen Attributs dem bekannten Attribut%ORG_MEMBERSHIP% in der directory.xml-Datei zugeordnet ist und der Benutzerzur Organisation "Employees" gehört, muss das Profil des Benutzers dasAttribut-/Wertpaar "description=Employees" enthalten.Gehen Sie wie folgt vor:1. Klicken Sie im CA IdentityMinder-Umgebungsfenster auf den Namen derentsprechenden CA IdentityMinder-Umgebung.Die Eigenschaften dieses spezifischen Umgebungsfensters werden angezeigt.2. Klicken Sie auf "System Manager" (Systemmanager).Der Systemmanager-Assistent wird angezeigt.3. Geben Sie den eindeutigen Namen des Benutzers mit der Systemmanager-Rolle wiefolgt ein:– Geben Sie für Benutzer von relationalen Datenbanken die eindeutige Kennungfür den Benutzer oder den Wert, der dem bekannten Attribut %USER_ID% inder Verzeichniskonfigurationsdatei zugeordnet ist, ein.– Geben Sie für LDAP-Benutzer den relativen DN des Benutzers ein. Wenn der DNdes Benutzers zum Beispiel uid=Admin1, ou=People, ou=Employees,ou=NeteAuto lautet, geben Sie "Admin1" ein.Hinweis: Vergewissern Sie sich, dass der Systemmanager nicht der gleiche Benutzerwie der Administrator des Benutzerspeichers ist.4. Klicken Sie auf "Validieren", um die vollständige Kennung des Benutzers anzuzeigen.5. Klicken Sie auf "Weiter".222 Konfigurationshandbuch

Aufrufen des Status einer CA IdentityMinder-Umgebung6. Wählen Sie auf der zweiten Seite des Assistenten eine Rolle aus, um sie demBenutzer wie folgt zuzuweisen:■Wenn Sie die Systemmanager-Rolle zuweisen möchten, führen Sie diefolgenden Aufgaben aus:a. Wählen Sie das Optionsfeld neben der Systemmanager-Rolle aus.b. Klicken Sie auf "Fertig stellen".■Wenn Sie eine andere Rolle als die des Systemmanagers zuweisen möchten,führen Sie die folgenden Aufgaben aus:a. Wählen Sie in der ersten Liste eine Bedingung aus.b. Geben Sie im zweiten Listenfeld den Teil eines Rollennamens oder einenvollständigen Rollennamen oder ein Sternchen (*) ein. Klicken Sie auf"Suchen".c. Wählen Sie die zuzuweisende Rolle aus der Suchergebnisliste aus.d. Klicken Sie auf "Fertig stellen".Im Fenster "System Manager Configuration Output"(Systemmanager-Konfigurationsausgabe) werden die Statusinformationenangezeigt.7. Klicken Sie auf "Fortfahren", um den Systemmanager-Assistenten zu schließen.Aufrufen des Status einer CA IdentityMinder-UmgebungCA IdentityMinder umfasst eine Statusseite, auf der Sie die folgendenStatusinformationen überprüfen können:■■■Das CA IdentityMinder-Verzeichnis ist ordnungsgemäß geladen.CA IdentityMinder kann eine Verbindung mit dem Benutzerspeicher herstellen.Die CA IdentityMinder-Umgebung wird ordnungsgemäß geladen.Um auf die Statusseite zuzugreifen, geben Sie die folgende URL in einem Browser ein:http://Hostname/iam/im/status.jspHostnameBestimmt den vollqualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist, zum Beispiel myserver.mycompany.com.Kapitel 6: CA IdentityMinder-Umgebungen 223

Aufrufen des Status einer CA IdentityMinder-UmgebungWenn die CA IdentityMinder-Umgebung ordnungsgemäß gestartet wird und alleVerbindungen erfolgreich hergestellt wurden, sieht die Statusseite ähnlich derfolgenden Abbildung aus:Auf der Statusseite wird auch angegeben, ob die Umgebung mit FIPS 140-2 konform ist.Fehlerbehebung in CA IdentityMinder-UmgebungenIn der folgenden Tabelle werden mögliche Fehlermeldungen und derFehlerbehebungsprozess beschrieben:Meldung Beschreibung FehlerbehebungNicht geladenNot OK (Nicht OK)Das CA IdentityMinder-Verzeichnis,das der Umgebung zugeordnet ist,wurde beim Starten von CAIdentityMinder nicht geladen.CA IdentityMinder kann keineVerbindung mit dem CAIdentityMinder-Verzeichnisherstellen.1. Stellen Sie sicher, dass der Benutzerspeicherausgeführt wird.Wenn CA IdentityMinder mit SiteMinderintegriert ist, überprüfen Sie, ob SiteMinder eineVerbindung mit dem Benutzerspeicher herstellenkann.In der Richtlinienserver-Benutzeroberflächekönnen Sie die Verbindung überprüfen, indem Siedie Eigenschaftsseite für die Verbindung mit demSiteMinder-Benutzerverzeichnis öffnen, die demBenutzerspeicher zugeordnet ist, und auf dieSchaltfläche "Inhalt anzeigen" klicken.Wenn der Inhalt des Benutzerspeichers angezeigtwird, kann SiteMinder die Verbindung erfolgreichherstellen.Weitere Informationen zum Richtlinienserverfinden Sie im CA SiteMinder Web Access ManagerPolicy Server-Konfigurationshandbuch.2. Starten Sie CA IdentityMinder und denRichtlinienserver neu.224 Konfigurationshandbuch

Aufrufen des Status einer CA IdentityMinder-UmgebungMeldung Beschreibung FehlerbehebungSM connection is notOK (SM-Verbindung istnicht OK)IMS is not available now(IMS ist zu diesemZeitpunkt nichtverfügbar)500-Fehlermeldung vonWindowsCA IdentityMinder kann keineVerbindung mit demSiteMinder-Richtlinienserver (fürImplementierungen, einschließlichSiteMinder) herstellenIn CA IdentityMinder ist ein Fehleraufgetreten.Die Statusseite wird nichtangezeigt, wenn darauf zugegriffenwird, während die Konnektivitätmit dem LDAP-Benutzerverzeichnisentfernt wird.1. Ü berprüfen Sie Folgendes:■■Der Richtlinienserver wird ausgeführt.Der Web-Agent schützt die Ressourcen.Sie können überprüfen, ob der Web-Agentordnungsgemäß ausgeführt wird, indem Sie aufdie Richtlinienserver-Benutzeroberflächezugreifen. Wenn eine Aufforderung angezeigtwird, die Anmeldeinformationen einzugeben,wird der Web-Agent ordnungsgemäß ausgeführt.2. Starten Sie CA IdentityMinder und denRichtlinienserver neu.Ü berprüfen Sie das Anwendungsserverprotokollin Bezug auf Fehlerdetails.Deaktivieren Sie die Internetbrowser-Option"Show friendly error message" (KurzeHTTP-Fehlermeldungen anzeigen), um dieStatusseite anzuzeigen.Kapitel 6: CA IdentityMinder-Umgebungen 225

Kapitel 7: Erweiterte EinstellungenIm Fenster "Advanced Settings" (Erweiterte Einstellungen) der Management-Konsolekönnen Sie die folgenden Aufgaben ausführen:■■Zugreifen auf Fenster zum Konfigurieren erweiterter EinstellungenImportieren und Exportieren erweiterter Einstellungen, wie inImportieren/Exportieren von benutzerdefinierten Einstellungen (siehe Seite 241)beschriebenDieses Kapitel enthält folgende Themen:Ü berprüfung (siehe Seite 227)Business Logic Task-Handler (siehe Seite 228)Ereignisliste (siehe Seite 229)E-Mail-Benachrichtigungen (siehe Seite 230)Ereignis-Listener (siehe Seite 230)Identitätsrichtlinien (siehe Seite 231)Logical-Attribute-Handler (siehe Seite 231)Sonstiges (siehe Seite 232)Benachrichtigungsregeln (siehe Seite 233)Organisationsauswahl (siehe Seite 233)Bereitstellung (siehe Seite 234)Benutzerkonsole (siehe Seite 237)Webservices (siehe Seite 239)Workflow Properties (Workflow-Eigenschaften) (siehe Seite 240)Work Item Delegation (Arbeitselement delegieren) (siehe Seite 240)Workflow Participant Resolvers (Workflow-Teilnehmer-Resolver) (siehe Seite 241)Importieren/Exportieren von benutzerdefinierten Einstellungen (siehe Seite 241)Fehler wegen unzureichendem Speicher in Java Virtual Machine (siehe Seite 242)ÜberprüfungIn Ü berprüfungsprotokollen werden Datensätze für die in einer CAIdentityMinder-Umgebung ausgeführten Vorgänge aufgezeichnet. Sie können die Datenin den Ü berprüfungsprotokollen nutzen, um die Systemaktivität zu überwachen.CA IdentityMinder überprüft Ereignisse. Ein Ereignis ist ein Vorgang, der von einer CAIdentityMinder-Aufgabe generiert wird. Eine Aufgabe kann mehrere Ereignissegenerieren. Zum Beispiel kann die CreateUser-Aufgabe die Ereignisse "CreateUserEvent"und "AddToGroupEvent" generieren.Kapitel 7: Erweiterte Einstellungen 227

Business Logic Task-HandlerStandardmäßig exportiert CA IdentityMinder alle Ereignisinformationen in dieAudit-Datenbank. Um Typ und Umfang der von CA IdentityMinder aufgezeichnetenEreignisinformationen zu steuern, führen Sie die folgenden Aufgaben aus:■■Aktivieren Sie die Ü berprüfung für CA IdentityMinder-Admin-Aufgaben.Aktivieren Sie die Ü berprüfung für einige oder alle von Admin-Aufgabengenerierten CA IdentityMinder-Ereignisse.■■■Zeichnen Sie Ereignisinformationen bei verschiedenen Status auf, zum Beispielwenn ein Ereignis abgeschlossen oder abgebrochen wird.Protokollieren Sie Informationen zu Attributen, die an einem Ereignis beteiligt sind.Sie können zum Beispiel Attribute protokollieren, die sich während einesModifyUserEvent-Ereignisses ändern.Legen Sie die Ü berprüfungsebene für Ereignisse und Attribute fest.Weitere Informationen:Audit-Daten (siehe Seite 243)So konfigurieren Sie die Ü berprüfung (siehe Seite 243)Business Logic Task-HandlerEin Business Logic Task-Handler führt benutzerdefinierte Business Logic aus, bevor eineCA IdentityMinder-Aufgabe zur Verarbeitung übergeben wird. Normalerweise validiertdie benutzerdefinierte Business Logic die Daten. Zum Beispiel kann ein Business LogicTask-Handler die Mitgliedschaftsbeschränkung einer Gruppe überprüfen, bevor CAIdentityMinder der Gruppe ein Mitglied hinzufügt. Wenn dieGruppenmitgliedschaftsbeschränkung erreicht wird, zeigt der Business LogicTask-Handler eine Meldung an, die den Gruppenadministrator darüber informiert, dassdas neue Mitglied nicht hinzugefügt werden konnte.Sie können die vordefinierten Business Logic Task-Handler verwenden oderbenutzerdefinierte Handler mithilfe der Business Logic Task-Handler-API erstellen.Hinweis: Weitere Informationen zum Erstellen benutzerdefinierter Business Logicfinden Sie im Programmierhandbuch für Java.Das Fenster "Business Logic Task-Handler" enthält eine Liste der vorhandenen globalenBusiness Logic Task-Handler. Die Liste umfasst vordefinierte Handler, die imLieferumfang von CA IdentityMinder enthalten sind, sowie alle an Ihrem Standortdefinierte angepassten Handler. CA IdentityMinder führt die Handler in der Reihenfolgeaus, in der sie in dieser Liste angezeigt werden.Globale Business Logic Task-Handler können nur in Java implementiert werden.228 Konfigurationshandbuch

EreignislisteAutomatisches Löschen von Kennwortfeldern beim Zurücksetzen desBenutzerkennwortsSie können CA IdentityMinder so konfigurieren, dass Kennwortfeldern automatischgelöscht werden, wenn ein zuvor eingegebener Wert eine Kennwortrichtlinie verletztoder wenn die Werte in den Feldern "Kennwort" und "Kennwort bestätigen" nichtübereinstimmen.Gehen Sie wie folgt vor:1. Rufen Sie die Management-Konsole auf.2. Wählen Sie die Umgebung aus, die Sie verwalten möchten, und klicken Sie dann auf"Advanced Settings".Die Seite für erweiterte Einstellungen wird angezeigt.3. Klicken Sie auf "Business Logic Task Handlers" und "BlthPasswordServices".Die Eigenschaftsseite für den Business Logic Task-Handler wird angezeigt.4. Legen Sie die folgende Eigenschaften fest:ClearPwdIfInvalid=truePwdConfirmAttrName=|passwordConfirm|5. Ü berprüfen Sie, dass die Einstellungen für "ConfirmPasswordHandler" wie folgtlauten:■■Object type – UserClass – ConfirmPasswordHandler■ConfirmationAttributeName = |passwordConfirm|■■OldPasswordAttributeName = |oldPassword|passwordAttributeName = %PASSWORD%Benutzer können jetzt Kennwortfelder in der Aufgabe zum Zurücksetzen desBenutzerkennworts löschen.EreignislisteAdmin-Aufgaben beinhalten Ereignisse. Hierbei handelt es sich um Aktionen, die von CAIdentityMinder zum Abschließen von Aufgaben ausgeführt werden. Eine Aufgabe kannmehrere Ereignisse umfassen. So kann beispielsweise die Aufgabe "Benutzer erstellen"Ereignisse für das Erstellen des Benutzerprofils, das Hinzufügen des Benutzers zu einerGruppe und das Zuweisen von Rollen beinhalten.Kapitel 7: Erweiterte Einstellungen 229

E-Mail-BenachrichtigungenCA IdentityMinder überprüft Ereignisse, setzt kundenspezifische Geschäftsregeln für dieEreignisse durch und fordern die Bestätigung der Ereignisse an, falls dieseWorkflow-Prozessen zugeordnet sind.Auf dieser Seite wird eine Liste der Ereignisse angezeigt, die in CA IdentityMinderverfügbar sind.E-Mail-BenachrichtigungenCA IdentityMinder kann E-Mail-Benachrichtigungen senden, wenn eine Aufgabe oderein Ereignis abgeschlossen wird oder wenn ein der Workflow-Steuerung unterliegendesEreignis einen bestimmten Status annimmt. Zum Beispiel kann ein Genehmiger perE-Mail darüber informiert werden, dass ein Ereignis genehmigt werden muss.Um den Inhalt von E-Mail-Benachrichtigungen anzugeben, können Sie entwedervordefinierte E-Mail-Vorlagen verwenden oder die Vorlagen an Ihre Anforderungenanpassen.Mithilfe der Management-Konsole können Sie die folgenden Aufgaben ausführen:■■■Aktivieren von E-Mail-Benachrichtigungen für eine CA IdentityMinder-Umgebung.Angeben der Vorlagensätze für das Erstellen von E-Mail-Nachrichten.Angeben der Ereignisse und Aufgaben, für die E-Mail-Benachrichtigungen gesendetwerden.Ereignis-ListenerEine CA IdentityMinder-Aufgabe besteht aus einer oder mehreren Aktionen,sogenannten Ereignissen, die CA IdentityMinder während der Ausführung der Aufgabedurchführt. Die Aufgabe "Benutzer erstellen" kann beispielsweise die folgendenEreignisse umfassen:■■■CreateUserEvent - Erstellt ein Benutzerprofil in einer Organisation.AddToGroupEvent - (Optional) Fügt den Benutzer als Mitglied einer Gruppe hinzu.AssignAccessRole - (Optional) Weist einem Benutzer eine Zugriffsrolle zu.Ein Ereignis-Listener überwacht die Umgebung auf ein bestimmtes Ereignis, und führtdann zu einem bestimmten Zeitpunkt im Lebenszyklus eines Ereignissesbenutzerdefinierte Business Logic aus. Nachdem ein neuer Benutzer in CAIdentityMinder erstellt wurde, kann beispielsweise ein Ereignis-Listener dieInformationen zum Benutzer einer Datenbank in einer anderen Anwendung hinzufügen.Hinweis: Weitere Informationen zum Konfigurieren von Ereignis-Listenern finden Sie imProgrammierhandbuch für Java.230 Konfigurationshandbuch

IdentitätsrichtlinienIdentitätsrichtlinienEine Identitätsrichtlinie wendet einen Satz von Geschäftsänderungen auf Benutzer an,die bestimmte Regeln oder Bedingungen erfüllen. Sie können Identitätsrichtlinien fürdie folgenden Aufgaben verwenden:■■Automatisieren bestimmter Identitätsmanagementaufgaben wie z. B. Zuweisen vonRollen und Gruppenmitgliedschaften, Zuordnen von Ressourcen oder Ändern vonAttributen von Benutzerprofilen.Durchsetzen, dass Pflichten getrennt werden Sie können zum Beispiel eineIdentitätsrichtlinie erstellen, die verhindert, dass Mitglieder der Rolle"Scheckunterzeichner" gleichzeitig die Rolle "Scheckgenehmiger" haben.■Konformität durchsetzen. Sie können zum Beispiel Benutzer überprüfen, die einenbestimmten Titel haben und mehr als $ 100.000 verdienen.Sie erstellen und verwalten Identitätsrichtliniensätze in der Benutzerkonsole. WeitereInformationen zu Identitätsrichtlinien finden Sie im Administrationshandbuch.Bevor Sie Identitätsrichtlinien verwenden, führen Sie in der Management-Konsole diefolgenden Aufgaben aus:■■Aktivieren Sie Identitätsrichtlinien für eine CA IdentityMinder-Umgebung.Legen Sie die Rekursionsebene fest (optional).Logical-Attribute-HandlerMithilfe von logischen Attributen in CA IdentityMinder können Sie Attribute einesBenutzerspeichers (sogenannte physische Attribute) in einem benutzerfreundlichenFormat in den Aufgabenfenstern anzeigen. CA IdentityMinder-Administratorenverwenden Aufgabenfenster, um Funktionen in CA IdentityMinder auszuführen.Logische Attribute sind in Benutzerspeichern nicht vorhanden. In der Regel stellen siemindestens ein physisches Attribut dar, um die Darstellung zu vereinfachen. Daslogische Attribut date kann beispielsweise die physischen Attribute month, day und yeardarstellen.Kapitel 7: Erweiterte Einstellungen 231

SonstigesLogische Attribute werden durch Logical-Attribute-Handler verarbeitet. Hierbei handeltes sich um Java-Objekte, die mit der Logical-Attribute-API geschrieben werden. Wennzum Beispiel ein Aufgabenfenster angezeigt wird, kann ein Logical-Attribute-Handler dieDaten eines physischen Attributs aus dem Benutzerspeicher in logische Attributdatenkonvertieren.Sie können die vordefinierten logischen Attribute und Logical-Attribute-Handlerverwenden, die in CA IdentityMinder enthalten sind, oder mit der Logical-Attribute-APIneue erstellen.Hinweis: Weitere Informationen finden Sie im Programmierhandbuch für Java.SonstigesBenutzerdefinierte Eigenschaften, die in diesem Fenster definiert werden, beziehen sichauf die gesamte CA IdentityMinder-Umgebung. Sie werden als Namen-/Wertpaare andie init()-Methode jedes benutzerdefinierten Java-Objekts übergeben, das Sie mit denCA IdentityMinder-APIs erstellen. Ein benutzerdefiniertes Objekt kann diese Daten aufbeliebige Weise entsprechend den Anforderungen der Business Logic des Objektsverwenden.Benutzerdefinierte Eigenschaften werden auch für ein bestimmtes benutzerdefiniertesObjekt definiert. Nehmen Sie zum Beispiel an, dass die benutzerdefiniertenEigenschaften im Eigenschaftsfenster für den Ereignis-Listener "MyListener" definiertwerden. Die objektspezifischen benutzerdefinierten Eigenschaften und die in densonstigen Fenstern definierten umgebungsweiten Eigenschaften werden in einemeinzelnen Aufruf an MyListener.init() übergeben.Um eine benutzerdefinierte Eigenschaft hinzuzufügen, geben Sie einenEigenschaftsnamen und -wert an, und klicken Sie auf "Hinzufügen".Wenn Sie eine oder mehrere benutzerdefinierte Eigenschaften löschen möchten,aktivieren Sie das Kontrollkästchen neben jedem zu löschenden Namen-/Wertpaar, undklicken Sie auf "Löschen".Nachdem Sie die Änderungen durchgeführt werden, klicken Sie auf "Speichern". StartenSie den Anwendungsserver neu, damit die Änderungen wirksam werden.Hinweis: Alle sonstigen Eigenschaften beachten die Groß-/Kleinschreibung. Wenn Siealso eine Eigenschaft "SelfRegistrationLogoutUrl" und eine andere Eigenschaft"selfregistrationlogouturl" definieren, werden beide Eigenschaften hinzugefügt.232 Konfigurationshandbuch

BenachrichtigungsregelnBenachrichtigungsregelnEine Benachrichtigungsregel kennzeichnet Benutzer, die E-Mail-Benachrichtigungerhalten. Wenn eine Aufgabe abgeschlossen wird oder ein Ereignis in einer Aufgabeeinen gewissen Status annimmt, z. B. Genehmigung ausstehend, genehmigt oderabgelehnt, erhalten die Benutzer eine E-Mail-Benachrichtigung entsprechend derBenachrichtigungsregel.Hinweis: Weitere Informationen zur E-Mail-Benachrichtigungsfunktion finden Sie imAdministrationshandbuch.CA IdentityMinder beinhaltet die folgenden vordefinierten Benachrichtigungsregeln:ADMIN_ADAPTERSendet eine E-Mail-Nachricht an den Administrator, der die Aufgabe initiiert hat.USER_ADAPTERSendet eine E-Mail-Nachricht an den Benutzer, der von der Aufgabe betroffen ist.USER_MANAGERSendet eine E-Mail-Nachricht an den Manager des Benutzers im aktuellen Kontext.Verwenden Sie zum Erstellen benutzerdefinierter Benachrichtigungsregeln dieBenachrichtigungsregel-API.Hinweis: Weitere Informationen zu Benachrichtigungsregeln finden Sie imProgrammierhandbuch für Java.OrganisationsauswahlEine Organisationsauswahl ist ein benutzerdefinierter Logical-Attribute-Handler, derbasierend auf den vom Benutzer während der Registrierung eingegebenenInformationen bestimmt, wo CA IdentityMinder das Profil eines selbst registriertenBenutzers erstellt. Zum Beispiel kann das Profil von Benutzern, die bei der Registrierungeinen Werbungscode eingeben, einer Organisation namens "Promotional Users"hinzugefügt werden.Kapitel 7: Erweiterte Einstellungen 233

BereitstellungBereitstellungVerwenden Sie dieses Fenster, wenn Sie CA IdentityMinder mit Bereitstellung nutzen.Hinweis: Eine ausführliche Anleitung finden Sie unter Konfigurieren einer Umgebung fürdie Bereitstellung (siehe Seite 199).Die Optionen für Bereitstellungseigenschaften lauten wie folgt:AktiviertGibt die Verwendung von zwei Benutzerspeichern an, einer für CA IdentityMinderund ein separater Benutzerspeicher (Bereitstellungsverzeichnis genannt) fürBereitstellungskonten. Ist diese Option deaktiviert, wird nur der CAIdentityMinder-Benutzerspeicher verwendet.Use Session Pool (Sitzungspool verwenden)Aktiviert die Verwendung eines Sitzungspools.Session Pool Initial Sessions (Anfängliche Sitzungen im Sitzungspool)Definiert die Mindestanzahl von Sitzungen, die zu Beginn im Pool verfügbar sind.Standardeinstellung: 8Session Pool Maximum Sessions (Maximale Sitzungen im Sitzungspool)Definiert die Höchstanzahl von Sitzungen im Pool.Standardeinstellung: 32Enable Password Changes from Endpoint Accounts (Kennwortänderungen aufEndpunktkonten aktivieren)Definiert, ob der Agent für die Kennwortsynchronisierung für jeden Benutzer imBereitstellungsserver aktiviert wird. Diese Option ermöglicht dieKennwortsynchronisierung zwischen CA IdentityMinder-Benutzern undzugeordneten Endpunktkonten.Enable Accumulation of Provisioning Role Membership Events (Ansammlung vonBereitstellungsrollen-Mitgliedschaft ermöglichen)Wenn Sie dieses Kontrollkästchen aktivieren, führt CA IdentityMinder Ereignisse imZusammenhang mit der Bereitstellungsrollen-Mitgliedschaft in einer bestimmtenReihenfolge aus. Alle Hinzufügungsaktionen werden zu einem einzelnen Vorgangzusammengefasst und zur Verarbeitung an den Bereitstellungsserver gesendet. ImAnschluss an die Verarbeitung dieser Hinzufügungsaktionen kombiniert CAIdentityMinder die Entfenrungsaktionen zu einem einzelnen Vorgang und sendetdiesen ebenfalls an den Bereitstellungsserver. Ein einzelnes Ereignis namens"AccumulatedProvisioningRoleEvent" wird generiert, um die Ereignisse in dieserReihenfolge auszuführen.Hinweis: Weitere Informationen zu "AccumulatedProvisioningRoleEvent" finden Sieim Administrationshandbuch.234 Konfigurationshandbuch

BereitstellungOrganization for Creating Inbound Users (Organisation zum Erstellen vonInbound-Benutzern)Definiert den vollständig qualifizierten Pfad zu dem Benutzerspeicher, den CAIdentityMinder verwendet. Dieses Feld wird nur angezeigt, wenn derBenutzerspeicher eine Organisation enthält.InnenadministratorDefiniert ein CA IdentityMinder-Administratorkonto, mit dem Aufgaben imZusammenhang mit eingehenden Zuordnungen ausgeführt werden. Diese Aufgabensind in die Rolle "Manager für Bereitstellungssynchronisierung" eingeschlossen. DerAdministrator muss in der Lage, jede Aufgabe für jeden CA IdentityMinder-Benutzerauszuführen.BereitstellungsverzeichnisDas Bereitstellungsverzeichnis ist ein Repository für Bereitstellungsinformationen,einschließlich Domäne, globaler Benutzer, Endpunkttypen, Endpunkten, Konten undKontovorlagen. Wenn Sie es auswählen, werden weitere Optionen zum Zuordnen desCA IdentityMinder-Benutzerspeichers zum Bereitstellungsverzeichnis angezeigt.Ermöglichen der Erstellung von SitzungspoolsZur Leistungssteigerung kann CA IdentityMinder bei der Kommunikation mit demBereitstellungsserver eine Reihe von Sitzungen für Sitzungspools vorab zuordnen.Ist die Option für Sitzungspools deaktiviert, erstellt und löscht CA IdentityMinderSitzungen nach Bedarf.Für eine neue Umgebung werden Sitzungspools standardmäßig aktiviert. Fürvorhandene Umgebungen können Sie Sitzungspools aktivieren.Gehen Sie wie folgt vor:1. Wählen Sie in der Management-Konsole "Advanced Settings" (ErweiterteEinstellungen) und "Provisioning" (Bereitstellung) aus.2. Wählen Sie "Use Session Pool" (Sitzungspool verwenden) aus.3. Definieren Sie die Mindestanzahl von Sitzungen im Pool bei der Erstellung.4. Definieren Sie die Höchstanzahl von Sitzungen im Pool.5. Klicken Sie auf "Speichern".6. Starten Sie den Anwendungsserver neu.Der Sitzungspool wird entsprechend den definierten Einstellungen aktiviert.Kapitel 7: Erweiterte Einstellungen 235

BereitstellungErmöglichen der KennwortsynchronisierungDer Bereitstellungsserver ermöglicht die Kennwortsynchronisierung zwischen CAIdentityMinder-Benutzern und zugeordneten Endpunktbenutzerkonten. Wenn also einBenutzer, der Bereitstellungsrollen hat, in CA IdentityMinder erstellt oder geändertwird, wird der Bereitstellungsbenutzer so eingerichtet, dass er Kennwortänderungenvon Endpunktkonten zulässt.Hinweis: Wenn Sie diese Funktion in der Management-Konsole aktivieren, lassen alleBenutzer in der Umgebung Kennwortänderungen von Endpunktkonten zu.So aktivieren Sie die Kennwortsynchronisierung1. Wählen Sie in der Management-Konsole "Advanced Settings" (ErweiterteEinstellungen) und "Provisioning" (Bereitstellung) aus.2. Aktivieren Sie "Enable Password Changes from Endpoint Accounts"(Kennwortänderungen auf Endpunktkonten aktivieren).3. Klicken Sie auf "Speichern".4. Starten Sie den Anwendungsserver neu.Zuordnungen von AttributenAttributzuordnungen ordnen die Benutzerattribute in mit der Bereitstellungverknüpften Admin-Aufgaben, wie "Bereitstellung: Benutzer erstellen", denentsprechenden Attributen im Bereitstellungsserver zu. Ein einzelnesBereitstellungsattribut kann mehreren Attributen im CAIdentityMinder-Benutzerspeicher zugeordnet werden.Für die Attribute in den Standardaufgaben sind Standardzuordnungen vorhanden, dieim Abschnitt für eingehende Zuordnungen aufgeführt sind. Wenn Sie eine dieserAdmin-Aufgaben ändern, sodass diese andere Attribute verwendet, müssen Sie ggf. dieAttributzuordnungen aktualisieren.Eingehende ZuordnungenEingehende Zuordnungen ordnen Ereignisse, die vom Bereitstellungsserver generiertwerden, einer Admin-Aufgabe zu. Diese Zuordnungen sind voreingestellt und könnennicht geändert werden.236 Konfigurationshandbuch

BenutzerkonsoleAusgehende ZuordnungenAusgehende Zuordnungen ordnen Ereignisse, die von Admin-Aufgaben generiertwerden, Ereignissen zu, die auf das Bereitstellungsverzeichnis angewandt werden. FürEreignisse, die sich auf Benutzerattribute auswirken, sind Standardzuordnungenvorhanden.BenutzerkonsoleAuf eine CA IdentityMinder-Umgebung wird mithilfe der Benutzerkonsole zugegriffen.Dies ist eine Webanwendung, die es Benutzern ermöglicht, Admin-Aufgabenauszuführen. Sie definieren gewisse Eigenschaften für die Benutzerkonsole, dieAdministratoren für den Zugriff auf die Umgebung verwenden, auf der Seite "UserConsole" in der Management-Konsole.Die Seite "User Console" enthält die folgenden Felder:General Properties (Allgemeine Eigenschaften)Definieren Sie allgemeine Eigenschaften, die auf eine Umgebung angewandtwerden.Show Recently Completed Tasks (Vor Kurzem abgeschlossene Aufgaben anzeigen)Bestimmt, ob CA IdentityMinder eine Statusmeldung anzeigt, wenn eineAufgabe abgeschlossen wird.Bei Auswahl dieser Option müssen Benutzer auf "OK" klicken, um die von CAIdentityMinder angezeigte Statusmeldung auszublenden.Deaktivieren Sie diese Option, um die Meldung auszuschalten, sodass Benutzerbeim Anzeigen einer Statusmeldung nicht immer auf "OK" klicken müssen.Show About Link (Link zu weiteren Informationen anzeigen)Bestimmt, ob in der linken unteren Ecke der Benutzerkonsole ein Link zuweiteren Informationen angezeigt wird. Bei Auswahl dieser Option können CAIdentityMinder-Benutzer über den Link "Info" Versionsinformationen zu CAIdentityMinder-Komponenten anzeigen.Enable Language Switching (Umschalten zwischen Sprachen aktivieren)Bestimmt, ob CA IdentityMinder im Anmeldefenster und in derBenutzerkonsole eine Dropdown-Liste zur Sprachenauswahl anzeigt. BeiAuswahl dieses Feldes können CA IdentityMinder-Benutzer die Sprache in derBenutzerkonsole ändern, indem sie eine neue Sprache aus der Liste auswählen.Hinweis: Um das Feld für die Sprachauswahl anzuzeigen, müssen das Feld"Enable Language Switching" ausgewählt und CA IdentityMinder für dieUnterstützung mehrerer Sprachen konfiguriert sein.Weitere Informationen hierzu finden Sie im User Console Design Guide.Kapitel 7: Erweiterte Einstellungen 237

BenutzerkonsoleJob Timeout (Job-Zeitlimit)Bestimmt, wie lange CA IdentityMinder nach dem Ü bermitteln einer Aufgabewartet, bevor eine Statusmeldung angezeigt wird.Wenn die Aufgabe innerhalb des angegebenen Zeitraums abgeschlossen wird,zeigt CA IdentityMinder die folgende Meldung an:"Task has been submitted for processing on current date"Wenn die Ausführung der Aufgabe länger dauert oder sich die Aufgabe unterWorkflow-Steuerung befindet, zeigt CA IdentityMinder die folgende Meldungan:"Task has been submitted for processing on the current date"Hinweis: Änderungen sind möglicherweise nicht sofort wirksam.Theme Properties (Themeneigenschaften)Ermöglicht Ihnen, das Symbol und den Titel der Benutzerkonsole in einerUmgebung anzupassen. Sie können zum Beispiel den Fenstern der Benutzerkonsoleein Unternehmenslogo und den Unternehmensnamen hinzufügen.Themeneigenschaften umfassen die folgenden Einstellungen:Icon (URI) (Symbol (URI))Definiert das Symbol mithilfe eines URI zu einem Bild auf demAnwendungsserver.Beispiel: http://myserver.mycompany.com/images/front/logo.gifIcon Link (URI) (Symbol-Link (URI))Definiert die Navigationsverknüpfung zu dem Bild mithilfe eines URI.Icon Title (Symboltitel)TitelDefiniert die QuickInfo, die beim Bewegen der Maus über das Symbol als Textangezeigt wird.Gibt benutzerdefinierten Text an, der neben dem Symbol oben in derBenutzerkonsole angezeigt wird.Hinweis: Wenn Sie ein benutzerdefiniertes Design definierten haben, können Sieein Symbol oder einen Titel angeben, indem Sie auf eine Eigenschaftsdatei für dasDesign verweisen. Wenn zum Beispiel der Eintrag für das Symbolbild in derEigenschaftsdatei für ein benutzerdefiniertes Design "image/logo.gif" lautet,können Sie die gleiche Zeichenfolge in das Symbolfeld eingeben.238 Konfigurationshandbuch

WebservicesLogin Properties (Anmeldeeigenschaften)Geben Sie die Authentifizierungsmethode und den Speicherort derAnmeldungsseite an, zu der Benutzer umgeleitet werden, wenn sie auf eineUmgebung zugreifen.Authentication Provider module class name (Klassenname desAuthentifizierungsanbietermoduls)Gibt den Klassennamen des Authentifizierungsanbietermoduls an.Login Page (Anmeldeseite)Gibt die Seite an, zu der Benutzer umgeleitet werden, wenn sie auf eineUmgebung zugreifen.WebservicesDer Webservice zur externen Ansteuerung von Aufgaben (Task Execution Web Service,TEWS) von CA IdentityMinder ermöglicht Clientanwendungen von Drittanbietern, CAIdentityMinder-Aufgaben zur entfernten Ausführung an CA IdentityMinder zuübermitteln.Im Eigenschaftsfenster für Webservices können Sie den TEWS für eine Umgebungkonfigurieren. In diesem Fenster können Sie die folgenden Aufgaben ausführen:■■■■■■■■Aktivieren Sie TEWS für eine CA IdentityMinder-Umgebung.Generieren Sie aufgabenspezifische WSDL-Dokumente (Web Services DefinitionLanguage).Lassen Sie Identitätswechsel zu.Geben Sie an, dass das Admin-Kennwort zur Authentifizierung erforderlich ist.Konfigurieren Sie die SiteMinder-Authentifizierung.Konfigurieren Sie SiteMinder so, dass die URL des Webservices gesichert wird, wennCA IdentityMinder mit SiteMinder integriert ist.Geben Sie die Authentifizierung des Benutzernamens für Websicherheitsservicesmithilfe eines Tokens an.Geben Sie mindestens einen der drei möglichen Authentifizierungstypen an.Weitere Informationen zum Ausgeben von Remoteanfragen bei CA IdentityMinderdurch den Webservice zur externen Ansteuerung von Aufgaben finden Sie imProgrammierhandbuch für Java.Kapitel 7: Erweiterte Einstellungen 239

Workflow Properties (Workflow-Eigenschaften)Workflow Properties (Workflow-Eigenschaften)Bei Aktivierung steuert die Workflow-Funktion die Ausführung einer CAIdentityMinder-Aufgabe, die einem Workflow-Vorgang zugeordnet ist.Ein Workflow-Vorgang ist ein Satz von Schritten, die zur Erfüllung eines Geschäftszielsausgeführt werden, z. B. zum Erstellen eines Benutzerkontos. Normalerweise beinhalteteiner dieser Schritte, dass die Aufgabe genehmigt oder zurückgewiesen wird.Eine Admin-Aufgabe ist einem oder mehreren Ereignissen zugeordnet, die einen odermehrere Workflow-Vorgänge auslösen können. Nachdem die Workflow-Vorgängeabgeschlossen wurden, führt CA IdentityMinder die Aufgabe aus oder weist sie zurück,je nach Ergebnis der Workflow-Vorgänge.Die folgende Abbildung zeigt die Beziehung zwischen einer CA IdentityMinder-Aufgabe,einem zugeordneten Ereignis und einem Workflow-Vorgang:Workflow Properties (Workflow-Eigenschaften)Verwenden Sie das Kontrollkästchen, um den Workflow für die CAIdentityMinder-Umgebung zu aktivieren oder zu deaktivieren.Work Item Delegation (Arbeitselement delegieren)Bei Aktivierung kann ein Teilnehmer (der Delegierer) angeben, dass einem anderenBenutzer (der Delegierte) die Berechtigung erteilt wird, Aufgaben in der Arbeitsliste desDelegierers zu genehmigen. Während der Abwesenheit des Delegierers kann derTeilnehmer einem anderen Genehmiger Arbeitselemente zuweisen. Der Delegiererbehält während des Delegationszeitraums vollen Zugriff auf seine Arbeitselemente.Zur Delegation wird das folgende bekannte Attribut verwendet:%DELEGATORS%Dieses bekannte Attribut speichert die Namen der Benutzer, die Arbeitselemente anden Benutzer mit dem Attribut delegieren, sowie den Zeitpunkt, zu dem die Delegationerstellt wird.Hinweis: Weitere Informationen zum Delegieren von Arbeitselementen finden Sie imAdministrationshandbuch.240 Konfigurationshandbuch

Workflow Participant Resolvers (Workflow-Teilnehmer-Resolver)Workflow Participant Resolvers(Workflow-Teilnehmer-Resolver)Die Aktivitäten in einem Workflow-Vorgang, wie das Genehmigen oder Zurückweiseneiner Aufgabe, werden von Teilnehmern ausgeführt.Im Fenster "Workflow Participant Resolvers" können Sie einer benutzerdefiniertenTeilnehmerauflösung einer Java-Klasse für eine vollständig qualifizierteTeilnehmerauflösung zuordnen.Eine benutzerdefinierte Teilnehmerauflösung ist ein Java-Objekt, das Teilnehmer einerWorkflow-Aktivität bestimmt und eine Liste an CA IdentityMinder zurückgibt. CAIdentityMinder übergibt die Liste dann an die Workflow-Engine.Normalerweise erstellen Sie nur dann eine benutzerdefinierte Teilnehmerauflösung,wenn keine der Standardteilnehmerauflösungen die Teilnehmerliste liefern kann, die fürdie Aktivität erforderlich ist.Hinweis: Weitere Informationen zum Erstellen benutzerdefinierterTeilnehmerauflösungen finden Sie im Programmierhandbuch für Java. WeitereInformationen zu den standardmäßige Teilnehmerauflösungen finden Sie imAdministrationshandbuch.Importieren/Exportieren von benutzerdefiniertenEinstellungenIm Fenster "Advanced Settings" der Management-Konsole können Sie wie folgterweiterte Einstellungen auf mehrere Umgebungen anwenden:■■■Konfigurieren Sie erweiterte Einstellungen in einer Umgebung.Exportieren Sie die erweiterten Einstellungen in eine XML-Datei.Importieren Sie die XML-Datei in die erforderlichen Umgebungen.Kapitel 7: Erweiterte Einstellungen 241

Fehler wegen unzureichendem Speicher in Java Virtual MachineFehler wegen unzureichendem Speicher in Java Virtual MachineSymptom:In Zeiten hoher Belastung oder hoher Last werden Fehler wegen unzureichendemSpeicher in JVM ausgegeben, die sich auf die Funktionalität des CAIdentityMinder-Servers auswirken.Lösung:Wir empfehlen, die JVM-Debugoptionen so festzulegen, dass bei unzureichendemSpeicher eine Warnung angezeigt wird.Hinweis: Weitere Informationen zum Festlegen von JVM-Debugoptionen finden Sie imAbschnitt zu Debugoptionen unter "Java HotSpot VM Options" aufhttp://www.oracle.com.242 Konfigurationshandbuch

Kapitel 8: ÜberprüfungDieses Kapitel enthält folgende Themen:Audit-Daten (siehe Seite 243)So konfigurieren Sie die Ü berprüfung (siehe Seite 243)Bereinigen der Audit-Datenbank (siehe Seite 256)Audit-DatenUm eine CA IdentityMinder-Umgebung zu überprüfen, konfigurieren Sie in CAIdentityMinder die Protokollierung von Audit-Daten. Audit-Daten stellen einenVerlaufsdatensatz der Vorgänge bereit, die in einer CA IdentityMinder-Umgebungstattfinden. Audit-Daten können beispielsweise Folgendes enthalten:■■■Systemaktivität für einen angegebenen Zeitraum.Benutzeranmeldungen und -abmeldungen beim Zugriff auf eine bestimmteUmgebung.Die Aufgaben, die ein bestimmter Benutzer ausführt.■■■Eine Liste von Objekten, die während eines bestimmten Zeitraums geändertwurden.Die einem Benutzer zugewiesenen Rollen.Die Vorgänge, die für ein bestimmtes Benutzerkonto durchgeführt werden.Audit-Daten werden für Ereignisse in CA IdentityMinder generiert. Ein Ereignis ist einVorgang, der von einer CA IdentityMinder-Aufgabe generiert wird. So kannbeispielsweise die Aufgabe "Benutzer erstellen" das Ereignis "AssignAccessRoleEvent"enthalten.Hinweis: Weitere Informationen zu Ereignissen finden Sie im Administrationshandbuch.So konfigurieren Sie die ÜberprüfungFühren Sie zum Konfigurieren der Ü berprüfung die folgenden Schritte aus:Kapitel 8: Überprüfung 243

So konfigurieren Sie die Überprüfung1. Konfigurieren Sie eine Auditeinstellungsdatei (siehe Seite 244).2. Aktivieren Sie die Ü berprüfung (siehe Seite 254) für die Aufgaben, die CAIdentityMinder überprüft.Hinweis: Mithilfe von SiteMinder können Sie auch Zugriffsteuerungsdaten überwachen.Weitere Informationen finden Sie im CA SiteMinder Web Access Manager PolicyServer-Konfigurationshandbuch.Konfigurieren von AuditeinstellungenSie konfigurieren Auditeinstellungen in einer Auditeinstellungsdatei. EineAuditeinstellungsdatei bestimmt den Umfang und die Art der Informationen, die CAIdentityMinder überprüft. Sie können eine Auditeinstellungsdatei wie folgtkonfigurieren:■■Aktivieren Sie die Ü berprüfung für eine CA IdentityMinder-Umgebung.Aktivieren Sie die Ü berprüfung für einige oder alle von Admin-Aufgabengenerierten CA IdentityMinder-Ereignisse.■■■Zeichnen Sie Ereignisinformationen bei verschiedenen Status auf, zum Beispielwenn ein Ereignis abgeschlossen oder abgebrochen wird.Protokollieren Sie Informationen zu Attributen, die an einem Ereignis beteiligt sind.Sie können zum Beispiel Attribute protokollieren, die sich während einesModifyUserEvent-Ereignisses ändern.Legen Sie die Auditebene für die Attributprotokollierung fest.Gehen Sie wie folgt vor:1. Exportieren Sie die aktuellen Auditeinstellungen in eine Auditeinstellungsdatei imXML-Format.2. Konfigurieren Sie Auditeinstellungen in der XML-Datei (siehe Seite 245), die Sie imvorherigen Schritt exportiert haben, indem Sie Elemente zu der Datei hinzufügenoder indem Sie Elemente ändern bzw. löschen. Außerdem können Sie die Ebene derfür jedes Ereignis aufgezeichneten Informationen ändern.3. Importieren Sie die geänderte XML-Auditeinstellungsdatei.Hinweis: Weitere Informationen finden Sie in der Online-Hilfe zurManagement-Konsole.244 Konfigurationshandbuch

So konfigurieren Sie die ÜberprüfungAuditeinstellungsdateiDie Auditeinstellungsdatei ist eine XML-Datei, die Sie durch das Exportieren vonAuditeinstellungen erstellen. Die Datei hat das folgende Schema:Das Schema enthält die folgenden Elemente:■ Audit (siehe Seite 245)■ AuditEvent (siehe Seite 247)■■AuditProfileAuditProfileAttribute■ EventState (siehe Seite 252)Audit-ElementAudit-Elemente definieren allgemeine Auditeinstellungen. Das Audit-Element enthältein oder mehrere AuditEvent-Elemente.Ein Audit-Element umfasst die folgenden Parameter:■enabled - Bestimmt den Status der Ü berprüfung in der aktuellen Umgebung. Diefolgenden Werte sind gültig:– True - Die Ü berprüfung ist für diese Umgebung aktiviert.– False - Es erfolgt keine Ü berprüfung für diese Umgebung.Hinweis: Geben Sie die Werte "true" oder "false" in Kleinbuchstaben an.Kapitel 8: Überprüfung 245

So konfigurieren Sie die Überprüfung■auditlevel - Kennzeichnet die Art von Informationen, die für an der Aufgabe oderdem Ereignis beteiligte Attribute aufgezeichnet werden.Die für das Audit-Element angegebene Auditebene wird auf alle Attributeangewandt, wenn in den Elementen AuditEvent (siehe Seite 247), AuditProfile oderAuditProfileAttribute keine andere Auditebene definiert ist. In diesen Elementenfestgelegte Auditebenen überschreiben die im Audit-Element definiertenAuditebenen.datasource - Gibt den Namen der Datenquelle für die Audit-Datenbank an. Diesermuss mit einem der folgenden Werte übereinstimmen:iam/im/jdbc/auditDbDataSourceWeitere Informationen zur Audit-Datenbank finden Sie im Installationshandbuch.AuditLevel-WerteDie folgenden Werte sind für "AuditLevel" gültig:■■NONE - Es werden keine Attributinformationen aufgezeichnet.OLD - Für Änderungsereignisse zeichnet CA IdentityMinder den Wert des Attributsvor dem Änderungsereignis auf. CA IdentityMinder überprüft das Attribut,unabhängig davon, ob das Ereignis sich direkt auf den Wert auswirkt.Für andere Ereignistypen, wie CreateUserEvent, werden keine Informationenaufgezeichnet.■■■■OLDCHANGED - Für Änderungsereignisse zeichnet CA IdentityMinder den Wert desAttributs vor dem Änderungsereignis nur dann auf, wenn der Wert in einen neuenWert geändert wird.Für andere Ereignistypen, wie CreateUserEvent, werden keine Informationenaufgezeichnet.NEW - Für Änderungsereignisse zeichnet CA IdentityMinder den Wert des Attributsnach dem Änderungsereignis auf. CA IdentityMinder überprüft das Attribut,unabhängig davon, ob das Ereignis sich direkt auf den Wert auswirkt.Für andere Ereignistypen zeichnet CA IdentityMinder die vorhandenen Werte auf.NEWCHANGED - Für Änderungsereignisse zeichnet CA IdentityMinder den Wert desAttributs nach dem Änderungsereignis nur dann auf, wenn der Wert in einen neuenWert geändert wird.Während eines ModifyUserEvent-Ereignisses ändert sich beispielsweise der Titeleines Benutzers von "Assistant Manager" in "Manager". CA IdentityMinderüberprüft den Wert "Manager", aber nicht den Namen und die Adresse desBenutzers, die sich nicht ändern.BOTH - Für Änderungsereignisse zeichnet CA IdentityMinder den Wert des Attributsvor und nach einem Änderungsereignis auf, unabhängig davon, ob sich dasÄnderungsereignis auf diesen Wert auswirkt.246 Konfigurationshandbuch

So konfigurieren Sie die Überprüfung■■BOTHCHANGED - Für Änderungsereignisse zeichnet CA IdentityMinder den altenund den neuen Wert des Attributs nach dem Änderungsereignis nur dann auf, wennder Wert in einen neuen Wert geändert wird.datasource - Der auf dem Anwendungsserver konfigurierte JNDI-Name für dieDatenquelle, die auf die Audit-Datenbank verweist.Geben Sie den folgenden JNDI-Namen an:java:/auditDbDataSourceHinweis: Ändern und speichern Sie die XML-Datei mit Auditeinstellungen, damit dieÄnderungen wirksam werden.AuditEvent-ElementAuditEvent-Elemente geben die zu überprüfenden Ereignisse an. Verwenden Sie zumAnzeigen einer Liste von CA IdentityMinder-Ereignissen pro Aufgabe die Anzeigeaufgabein der Benutzerkonsole.Das AuditEvent-Element enthält mehrere AuditProfile- undAuditProfileAttribute-Elemente. In der Datenbank sind Mitglieds-, Administrator- undBesitzerrichtlinien im kompilierten XML-Format gespeichert. Dieses Formatunterscheidet sich von dem der Benutzeroberfläche, an der jede Richtlinie als einAusdruckselement angezeigt wird.Das AuditEvent-Element beinhaltet die folgenden Parameter:nameGibt den Namen des zu überprüfenden Ereignisses an.Um ein Attribut für alle Ereignisse zu überprüfen oder auszuschließen, geben Sie alsEreignisnamen ALL an. Um zum Beispiel unabhängig von dem Ereignis zuverhindern, dass Kennwörter überprüft werden, geben Sie den folgenden Code an:enabledBestimmt, ob das Ereignis überprüft wird. Die folgenden Werte sind gültig:■■True - Gibt an, dass CA IdentityMinder dieses Ereignis überprüft.False - Gibt an, dass CA IdentityMinder dieses Ereignis nicht überprüft.Hinweis: Geben Sie die Werte "true" oder "false" in Kleinbuchstaben an.Kapitel 8: Überprüfung 247

So konfigurieren Sie die ÜberprüfungAuditProfile-ElementauditlevelGibt die Art von Informationen an, die für ein Attribut im Audit-Ereignisaufgezeichnet werden.AuditLevel-Werte (siehe Seite 246) führen gültige Werte für das AuditLevel-Elementauf.Hinweis: Die Einstellungen in den Elementen AuditProfile und AuditProfileAttributehaben Vorrang vor globalen Einstellungen im AuditEvent-Element.AuditProfile-Elemente geben die Art von Objekten an, die an den zu überprüfendenEreignissen beteiligt sind. Wenn Sie zum Beispiel die Ü berprüfung für das ObjektPARENTORG in einem CreateUserEvent-Ereignis aktivieren, protokolliert CAIdentityMinder Informationen zur Organisation des erstellten Benutzers.Das AuditProfile-Element kann mehrere AuditProfileAttribute-Elemente enthalten.Das AuditProfile-Element beinhaltet die folgenden Parameter:objecttypeDefiniert die Art von Objekt, für das Auditinformationen aufgezeichnet werden.Folgende Objekttypen sind möglich:■■■ACCESS ROLEACCESS TASKADMINISTRATIVE ROLE■■■■■■■ADMINISTRATIVE TASKGROUPORGANIZATIONPARENTORGRELATIONSHIPDas Objekt RELATIONSHIP beschreibt Containerbeziehungen, wenn ein Objektein oder mehrere andere Objekte einschließt. Beispiele fürContainerbeziehungen sind verschachtelte Gruppen, Gruppen- undRollenmitgliedschaften sowie hierarchische Organisationen.Im Objekt RELATIONSHIP werden das übergeordnete Objekt und die imübergeordneten Objekt enthaltenen Objekte dargestellt.USERNONE248 Konfigurationshandbuch

So konfigurieren Sie die ÜberprüfungauditlevelAuditProfileAttribute-ElementGibt die Art von Informationen an, die für ein Attribut im Profil eines Objektsaufgezeichnet werden.Die Auditebene, die Sie für das AuditProfile-Element angeben, wird auf alleAttribute im Profil eines Objekts angewandt, sofern keine andere Auditebene imAuditProfileAttribute-Element definiert wurde. In diesen Elementen festgelegteAuditebenen überschreiben die im AuditProfile-Element definierten Auditebenen.AuditLevel-Werte (siehe Seite 246) führen gültige Werte für das AuditLevel-Elementauf.AuditProfileAttribute-Elemente geben die Attribute an, die CA IdentityMinder überprüft.Die Attribute beziehen sich auf das im AuditProfile-Element angegebene Objekt.Hinweis: Wenn keine Auditprofilattribute angegeben wurden, werden alle Attribute fürdas im AuditProfile-Element angegebene Objekt protokolliert.Das AuditProfileAttribute-Element beinhaltet die folgenden Parameter:nameDefiniert den Namen des zu überprüfenden Attributs.Geben Sie ein Profilattribut für das Objekt im entsprechenden AuditProfile-Elementan. Wenn zum Beispiel das AuditProfile-Element das Organisationsobjekt angibt,geben Sie den Namen eines Organisationsattributs als Wert für den Parameter"name" an.Hinweis: Vergewissern Sie sich, dass Sie das Profilattribut in derVerzeichniskonfigurationsdatei für das CA IdentityMinder-Verzeichnis definieren.Kapitel 8: Überprüfung 249

So konfigurieren Sie die ÜberprüfungauditlevelGibt die Art von Informationen an, die für ein Attribut aufgezeichnet werden.AuditLevel-Werte (siehe Seite 246) führen gültige Werte für das AuditLevel-Elementauf.Die folgende Tabelle enthält die gültigen Attribute für CA IdentityMinder-Objekttypen:Gültige Attribute für CA IdentityMinder-ObjekttypenObjekttypGültige AttributeACCESS ROLE ■ name - Für Benutzer sichtbarer Name der Rolle.■■■■■■■description - Ein optionaler Kommentar über den Zweck der Rolle.members - Die Benutzer, die die Rolle verwenden können.administrators - Die Benutzer, die Rollenmitglieder oderAdministratoren zuweisen können.owners - Die Benutzer, die die Rolle ändern können.enabled - Gibt an, ob die Rolle aktiviert ist oder nicht.assignable - Gibt an, ob die Rolle von einem Administrator zugewiesenwerden kann oder nicht.tasks - Die Zugriffsaufgaben, die der Rolle zugeordnet sind.ACCESS TASK ■ name - Für Benutzer sichtbarer Name der Aufgabe.■■■■description - Ein optionaler Kommentar über den Zweck der Aufgabe.application - Die Anwendung, die der Aufgabe zugeordnet ist.tag - Die eindeutige Kennung der Aufgabe.reserved1, reserved2, reserved3, reserved4 - Die Werte für diereservierten Felder der Aufgabe.250 Konfigurationshandbuch

So konfigurieren Sie die ÜberprüfungGültige Attribute für CA IdentityMinder-ObjekttypenObjekttypGültige AttributeADMINISTRATIVE ROLE ■ name - Für Benutzer sichtbarer Name der Rolle.■■■■■■■description - Ein optionaler Kommentar über den Zweck der Rolle.members - Die Benutzer, die die Rolle verwenden können.administrators - Die Benutzer, die Rollenmitglieder oderAdministratoren zuweisen können.owners - Die Benutzer, die die Rolle ändern können.enabled - Gibt an, ob die Rolle aktiviert ist oder nicht.assignable - Gibt an, ob die Rolle von einem Administrator zugewiesenwerden kann oder nicht.tasks - Die Aufgaben, die der Rolle zugeordnet sind.ADMINISTRATIVE TASK ■ name - Für Benutzer sichtbarer Name der Aufgabe.GROUP■■■■■■■■■■■■description - Ein optionaler Kommentar über den Zweck der Aufgabe.tag - Die eindeutige Kennung der Aufgabe.category - Die Kategorie in der CA IdentityMinder-Benutzeroberfläche,unter der die Aufgabe angezeigt wird.primary_object - Das Objekt, auf das die Aufgabe angewandt wird.action - Der Vorgang, der für das Objekt ausgeführt wird.hidden - Gibt an, dass die Aufgabe nicht in Menüs angezeigt wird.public - Gibt an, ob die Aufgabe für Benutzer verfügbar ist, die nicht beiCA IdentityMinder angemeldet sind.auditing - Gibt an, ob die Aufgabe die Aufzeichnung vonAuditinformationen ermöglicht.external - Gibt an, ob die Aufgabe eine externe Aufgabe ist.url - Der URL, an den CA IdentityMinder den Benutzer umleitet, wenneine externe Aufgabe ausgeführt wird.workflow - Gibt an, ob die der Aufgabe zugeordneten CAIdentityMinder-Ereignisse einen Workflow auslösen.webservice - Gibt an, ob es sich um eine Aufgabe handelt, für die überdie CA IdentityMinder-Management-Konsole eine WSDL-Ausgabe (WebServices Description Language) generiert werden kann.Ein gültiges Attribut, das für das GROUP-Objekt in derVerzeichniskonfigurationsdatei (directory.xml) definiert wird.Kapitel 8: Überprüfung 251

So konfigurieren Sie die ÜberprüfungGültige Attribute für CA IdentityMinder-ObjekttypenObjekttypORGANIZATIONPARENTORGGültige AttributeEin gültiges Attribut, das für das ORGANIZATION-Objekt in derVerzeichniskonfigurationsdatei (directory.xml) definiert wird.RELATIONSHIP ■ %CONTAINER% - Eindeutige Kennung des übergeordneten Objekts.Wenn zum Beispiel das RELATIONSHIP-Objekt eine Rollenmitgliedschaftbeschreibt, wäre der Container die Rolle.■■%CONTAINER_NAME% - Für den Benutzer sichtbarer Name derübergeordneten Gruppe.%ITEM% - Eindeutig Kennung des Objekts, das im übergeordnetenObjekt enthalten ist.Wenn zum Beispiel das RELATIONSHIP-Objekt eine Rollenmitgliedschaftbeschreibt, wären die Elemente die Rollenmitglieder.■%ITEM_NAME% - Für den Benutzer sichtbarer Name derverschachtelten Gruppe.USEREin gültiges Attribut, das für das USER-Objekt in derVerzeichniskonfigurationsdatei (directory.xml) definiert wird.NONEKeine Attribute.Hinweis: In der nachfolgende Liste sind für die vorangehende Tabelle geltendeMerkamle aufgeführt:■■■Für "enabled", "assignable", "auditable", "workflow", "hidden", "webservice" und"public" wird entweder "true" oder "false" protokolliert.Beim Ü berprüfen von Aufgaben für Rollen wird der für Benutzer sichtbare Nameprotokolliert.In der Datenbank sind Mitglieds-, Administrator- und Besitzerrichtlinien imkompilierten XML-Format gespeichert. Dieses Format unterscheidet sich von demder Benutzeroberfläche, an der jede Richtlinie als ein Ausdruck angezeigt wird.EventState-ElementEventState-Elemente geben an, wann Information zu Ereignissen aufgezeichnet werden.CA IdentityMinder kann Informationen an verschiedenen Punkten (Status) während desLebenszyklus eines Ereignisses protokollieren.Das EventState-Element beinhaltet die folgenden Parameter:252 Konfigurationshandbuch

So konfigurieren Sie die ÜberprüfungnameDefiniert den Namen des zu überprüfenden Ereignisstatus. Folgende Ereignisstatuskönnen angeben werden:AUDITBEGINPREZeichnet besondere Ereignisse auf, die nur zur Ü berprüfung von Informationendienen. Diese Ereignisse gehen nur in den Status AUDIT über und werden nichtausgeführt.Ü berprüft die Attribute, die über die Benutzeroberfläche und diebenutzerdefinierten Handler ausgefüllt werden, einschließlich Business LogicTask-Handler, Logical-Attribute-Handler undAttributvalidierungsimplementierungen.Zudem werden in diesem Status auch von TEWS ausgefüllte Attributeüberprüft.Ü berprüft Attribute, auf die sich Ereignis-Listener auswirken, die während desStatus BEGIN ausgeführt werden.APPROVEDÜ berprüft Änderungen an Attributen während des Genehmigungsprozesses.REJECTEDZeichnet Statusinformationen auf, wenn ein Ereignis unterWorkflow-Steuerung abgelehnt wird.Hinweis: Nachdem ein Ereignis abgelehnt wurde, geht es in denabgebrochenen Status über.EXECUTEPOSTZeichnet Information auf, wenn ein Ereignis ausgeführt wird.Ü berprüft alle Änderungen, die ein Ereignis-Listener an einem Attribut imStatus POST vornimmt.INVALIDZeichnet Statusinformationen auf, wenn CA IdentityMinder ein ungültigesEreignis erkennt.Kapitel 8: Überprüfung 253

So konfigurieren Sie die ÜberprüfungPENDINGZeichnet Statusinformationen auf, wenn sich ein Ereignis im ausstehendenStatus befindet.COMPLETEZeichnet Statusinformationen auf, wenn ein Ereignis abgeschlossen wird.CANCELLEDZeichnet Statusinformationen auf, wenn ein Ereignis abgebrochen wird.Hinweis: Verwenden Sie für den Wert des Namensparameters nurGroßbuchstaben.So aktivieren Sie die Überprüfung für eine AufgabeNachdem Sie die Ü berprüfung für CA IdentityMinder konfiguriert haben, können Siefestlegen, für welche Aufgaben Ü berprüfungsdaten protokolliert werden. UmAudit-Daten für eine Aufgabe zu generieren, erstellen oder ändern Sie die Aufgabe inder Benutzerkonsole. Aktivieren Sie auf der Registerkarte "Profil" das Kontrollkästchen"Ü berprüfung aktivieren".254 Konfigurationshandbuch

So konfigurieren Sie die ÜberprüfungSo konfigurieren Sie CA IdentityMinder für die Überprüfung der Anmeldungs- undAbmeldungsereignisse von BenutzernSie können in der Auditeinstellungsdatei konfigurieren, dass CA IdentityMinderAnmeldungs- und Abmeldungsereignisse überprüft. Standardmäßig ist die Ü berprüfungvon Anmeldungs- und Abmeldungsereignissen aktiviert, wenn die Ü berprüfung in derjeweiligen Umgebung aktiviert ist. Sie können die Ü berprüfungskonfiguration jedochaktualisieren, um Anmeldungs- und Abmeldungsereignisse in einer CAIdentityMinder-Umgebung zu aktivieren bzw. zu deaktivieren.Der Auditstatus für Anmeldungs- und Abmeldungsereignisse wird mittels zweiStatusangaben aufgezeichnet:COMPLETEINVALIDKennzeichnet eine erfolgreiche Anmeldung bzw. Abmeldung des Benutzers.Kennzeichnet eine ungültige Eingabe des Benutzernamens oder Kennworts.Darüber hinaus werden mit "Invalide" anonyme Anmeldeversuche gekennzeichnet.So konfigurieren Sie Anmeldungs- und Abmeldungsereignisse von Benutzern:1. Wählen Sie in der Management-Konsole "Advanced Settings" aus.2. Exportieren Sie die aktuellen Auditeinstellungen in eine Auditeinstellungsdatei imXML-Format.3. Konfigurieren Sie die Auditeinstellungen in den XML-Dateien.Der folgende Code zeigt beispielhaft, wie Sie Anmeldungs- undAbmeldungsereignisse aktivieren:Geben Sie "true" ein, um das Ereignis zu protokollieren, und "false", um dasProtokollieren des Ereignisses zu deaktivieren.4. Importieren Sie die geänderte XML-Auditeinstellungsdatei.Kapitel 8: Überprüfung 255

Bereinigen der Audit-DatenbankDie Anmeldungs- und Abmeldungsereignisse von Benutzern werden konfiguriert.Bereinigen der Audit-DatenbankIn der Ü berprüfungsdatenbank können sich Datensätze ansammeln, die nicht mehrbenötigt werden. Um diese Datensätze zu entfernen, führen Sie die folgendeDatenbankprozedur im Verzeichnis "db\auditing" aus:garbageCollectAuditing125 environment-name MM/DD/YYYYenvironment-nameGibt den Namen der CA IdentityMinder-Umgebung an.TT/MM/JJJJGibt das Datum an, vor dem Ü berprüfungsdatensätze gelöscht werden sollen.256 Konfigurationshandbuch

Kapitel 9: ProduktionsumgebungenDieser Abschnitt enthält ausführliche Funktionsbeschreibungen für die Migrationbestimmter Funktionskomponenten. Stellen Sie sicher, dass diese Möglichkeit nurgenutzt wird, wenn in der Entwicklungsumgebung lediglich geringfügige Änderungenvorgenommen wurden und diese Änderungen bekannt sind.Dieses Kapitel enthält folgende Themen:So migrieren Sie Admin-Rollen und Aufgabendefinitionen (siehe Seite 257)So migrieren Sie CA IdentityMinder-Designs (siehe Seite 259)Aktualisieren von CA IdentityMinder in einer Produktionsumgebung (siehe Seite 260)Migrieren der Datei "iam_im.ear" für JBoss (siehe Seite 262)Migrieren der Datei "iam_im.ear" für WebLogic (siehe Seite 263)Migrieren der Datei "iam_im.ear" für WebSphere (siehe Seite 264)Migrieren von Workflow-Prozessdefinitionen (siehe Seite 266)So migrieren Sie Admin-Rollen und AufgabendefinitionenSie können CA IdentityMinder-Rollen und -Aufgaben an die spezifischen AnforderungenIhres Unternehmens anpassen. Diese Anpassungen beinhalten das Erstellen oderÄndern von Admin-Rollen und Aufgaben oder die Nutzung einer Erstellungs- bzw.Änderungsaufgabe für eine Admin-Rolle oder Aufgabe.Eine andere Methode besteht darin, die Rollen und Aufgaben in der Datei"roledefinition.xml" zu ändern, allerdings wird diese nicht empfohlen. Aufgrund derGefahr von Bearbeitungsfehlern sollten Sie diese Methode nur für sehr beschränkteÄnderungen nutzen.Bei diesem Prozess werden nur administrative Rollen- und Aufgabendefinitionenmigriert. Wenn die Rollen an Organisationen gebunden wurden, sollten Sie eineMigration der gesamten CA IdentityMinder-Umgebung in Betracht ziehen.Wichtig! Wenn Sie Rollen- oder Aufgabendefinitionen in der Produktionsumgebunggeändert haben, gehen diese Änderungen beim Importieren der Rollen- oderAufgabendefinitionen aus einer Entwicklungsumgebung verloren. Beim Importieren vonRollen- und Aufgabendefinitionen werden vorhandene Rollen- undAufgabendefinitionen mit den selben Namen überschrieben.Kapitel 9: Produktionsumgebungen 257

So migrieren Sie Admin-Rollen und AufgabendefinitionenSo exportieren Sie Admin-Rollen und AufgabendefinitionenWenn Änderungen direkt in der Datei "roledefinition.xml" vorgenommen wurden, kanndiese Datei unmittelbar in die Produktionsumgebung importiert werden. Gehen Sieandernfalls zum Exportieren der Rollen- und Aufgabendefinitionen wie folgt vor:1. Wenn Sie ein Richtlinienserver-Cluster verwenden, müssen Sie überprüfen, dass nurein Richtlinienserver ausgeführt wird.2. Halten Sie bis auf einen alle CA IdentityMinder-Knoten an.3. Melden Sie sich bei der Management-Konsole an.4. Klicken Sie auf CA IdentityMinder-Umgebungen.5. Wählen Sie die CA IdentityMinder-Umgebung aus, aus der die Rollen- undAufgabendefinitionen exportiert werden sollen.6. Klicken Sie auf "Rollen" und anschließend auf "Exportieren", und geben Sie einenNamen für die Datei ein.7. Führen Sie die Anweisungen im nächsten Verfahren aus, um die so exportierteDatei zu importieren.So importieren Sie Admin-Rollen und AufgabendefinitionenGehen Sie wie folgt vor:1. Kopieren Sie die im vorangehenden Verfahren erstellte Datei in dieProduktionsumgebung.2. Melden Sie sich in der Produktionsumgebung an der Management-Konsole an.3. Klicken Sie auf CA IdentityMinder-Umgebungen.4. Wählen Sie die entsprechende CA IdentityMinder-Umgebung aus.5. Klicken Sie auf "Rollen".6. Klicken Sie auf "Importieren", und geben Sie den Namen der XML-Datei ein, diebeim Export generiert wurde.7. Wenn diese Schritte erfolgreich waren, starten Sie alle zusätzlichenRichtlinienserver und CA IdentityMinder-Knoten, die Sie angehalten hatten.Hinweis: Wenn weitere Änderungen in der CA IdentityMinder-Umgebungerforderlich sind, wiederholen Sie Schritt 6.258 Konfigurationshandbuch

So migrieren Sie CA IdentityMinder-DesignsSo prüfen Sie den Rollen- und AufgabenimportUm zu prüfen, ob die Rollen und Aufgaben erfolgreich importiert wurden, melden Siesich mit einem Administratorkonto bei CA IdentityMinder an, das die folgendenAufgaben ausführen kann:■■Admin-Rolle ändernAdmin-Aufgabe ändernFühren Sie diese Aufgaben aus, und prüfen Sie, ob die Rollen und Aufgaben die neuimportierten Rollendefinitionen widerspiegeln.So migrieren Sie CA IdentityMinder-DesignsSie können die CA IdentityMinder-Designs anpassen, um der Anwendung einbestimmtes Erscheinungsbild zu geben. Wenn Sie für eine Benutzergruppe Designsgeändert oder neue Designs erstellt haben, führen Sie die folgenden Schritte aus, umdie Designs von der Entwicklungs- auf die Produktionsumgebung zu migrieren.Wenn Sie ein Design geändert haben, kopieren Sie die geänderten Dateien.Gehen Sie wie folgt vor:1. Kopieren Sie neue und geänderte Dateien vom Entwicklungs- auf denProduktionsserver, z. B. Bilddateien, Stylesheets, Eigenschaftsdateien und dieKonsolenseite (index.jsp).2. Wenn mehrere Designs verwendet werden, konfigurieren Sie eineSiteMinder-Antwort.Hinweis: Weitere Informationen über die Verwendung mehrerer Designs finden Sieim Konfigurationshandbuch.Um die Migration der Designs zu prüfen, melden Sie sich an der Benutzerkonsole an,und prüfen Sie, ob das Design korrekt angezeigt wird.Kapitel 9: Produktionsumgebungen 259

Aktualisieren von CA IdentityMinder in einer ProduktionsumgebungAktualisieren von CA IdentityMinder in einerProduktionsumgebungNachdem Sie CA IdentityMinder von der Entwicklungs- auf die Produktionsumgebungmigriert haben, müssen Sie ggf. inkrementelle Aktualisierungen durchführen. Führen Siedie folgenden Schritte aus, um neue CA IdentityMinder-Funktionen von IhrerEntwicklungsumgebung auf Ihre Produktionsumgebung zu migrieren:1. Migrieren Sie CA IdentityMinder-Umgebungen.2. Kopieren Sie die Datei "iam_im.ear".3. Migrieren Sie Workflow-Prozessdefinitionen.So migrieren Sie eine CA IdentityMinder-UmgebungEine CA IdentityMinder-Umgebung wird in der Management-Konsole erstellt. Eine CAIdentityMinder-Umgebung beinhaltet eine Reihe von Rollen- und Aufgabendefinitionen,Workflow-Definitionen, mit den CA IdentityMinder-APIs erstellte benutzerdefinierteFunktionen und ein CA IdentityMinder-Verzeichnis.Gehen Sie wie folgt vor:1. Wenn CA IdentityMinder mit SiteMinder integriert ist und Sie einRichtlinienserver-Cluster verwenden, müssen Sie sicherstellen, dass nur einRichtlinienserver ausgeführt wird.2. Halten Sie bis auf einen alle CA IdentityMinder-Knoten an.3. Exportieren Sie CA IdentityMinder-Umgebungen über die Management-Konsole ausder Entwicklungsumgebung.4. Importieren Sie die exportierten Umgebungen über die Management-Konsole in dieProduktionsumgebung.5. Wenn CA IdentityMinder mit SiteMinder integriert ist, müssen Sie die CAIdentityMinder-Bereiche in der Benutzeroberfläche des Richtlinienservers erneutschützen.Die Richtliniendomäne wird beim Exportieren einer CA IdentityMinder-Umgebungnicht aus dem Richtlinienspeicher exportiert.6. Starten Sie den Richtlinienserver und die CA IdentityMinder-Knoten neu, die Sieangehalten hatten.260 Konfigurationshandbuch

Aktualisieren von CA IdentityMinder in einer ProduktionsumgebungBei der Migration einer CA IdentityMinder-Umgebung werden die folgenden Aktivitätenausgeführt:■■■Wenn das gleiche Objekt an beiden Positionen vorhanden ist, überschreiben dieÄnderungen am Entwicklungsserver die Änderungen am Produktionsserver.Werden in der Entwicklungsumgebung neue Objekte erstellt, werden sie demProduktionsserver hinzugefügt.Werden am Produktionsserver neue Objekte erstellt, werden sie beibehalten.So exportieren Sie eine CA IdentityMinder-UmgebungUm eine CA IdentityMinder-Umgebung auf einem Produktionssystem bereitzustellen,exportieren Sie die Umgebung aus einem Entwicklungs- oder Staging-System, undimportieren Sie sie in das Produktionssystem.Hinweis: Wenn Sie eine zuvor exportierte Umgebung importieren, zeigt CAIdentityMinder ein Protokoll in einem Statusfenster in der Management-Konsole an. UmValidierungs- und Bereitstellungsinformationen für jedes verwaltete Objekt und seineAttribute in diesem Protokoll anzuzeigen, wählen Sie das Feld "Enable Verbose LogOutput" (Ausführliche Protokollierungsausgabe aktivieren) auf der Seite "EnvironmentProperties" (Umgebungseigenschaften) aus, bevor Sie die Umgebung exportieren. DieAuswahl des Felds "Enable Verbose Log Output" kann beträchtliche Leistungsproblemebeim Importieren verursachen.Gehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Environments" (Umgebungen).Das CA IdentityMinder-Umgebungsfenster wird mit einer Liste von CAIdentityMinder-Umgebungen angezeigt.2. Wählen Sie die Umgebung aus, die Sie exportieren möchten.3. Klicken Sie auf die Schaltfläche "Exportieren".Ein Dateidownload-Fenster wird angezeigt.4. Speichern Sie die ZIP-Datei an einem Speicherort, auf den das Produktionssystemzugreifen kann.5. Klicken Sie auf "Fertig stellen".Die Umgebungsinformationen werden in eine ZIP-Datei exportiert, die Sie in eineandere Umgebung importieren können.Kapitel 9: Produktionsumgebungen 261

Migrieren der Datei "iam_im.ear" für JBossSo importieren Sie eine CA IdentityMinder-UmgebungNachdem Sie eine CA IdentityMinder-Umgebung von einem Entwicklungssystemexportiert haben, können Sie sie in ein Produktionssystem importieren.Gehen Sie wie folgt vor:1. Klicken Sie in der Management-Konsole auf "Environments" (Umgebungen).Das CA IdentityMinder-Umgebungsfenster wird mit einer Liste von CAIdentityMinder-Umgebungen angezeigt.2. Klicken Sie auf die Schaltfläche "Importieren".Das Fenster "Umgebung importieren" wird angezeigt.3. Suchen Sie nach der entsprechenden ZIP-Datei, um eine Umgebung zu importieren.4. Klicken Sie auf "Fertig stellen".Die Umgebung wird in CA IdentityMinder importiert.So prüfen Sie die Migration einer CA IdentityMinder-UmgebungUm zu prüfen, ob die CA IdentityMinder-Umgebung korrekt migriert wurde, stellen Siesicher, dass die CA IdentityMinder-Umgebung in der Benutzeroberfläche desRichtlinienservers in der Produktionsumgebung angezeigt wird.Prüfen Sie in der Benutzeroberfläche des Richtlinienservers die folgenden Punkte:■■■Die Einstellungen des CA IdentityMinder-Benutzerverzeichnisses stimmen.Die neue CA IdentityMinder-Domäne ist vorhanden.Die richtigen Authentifizierungsschemen schützen die CA IdentityMinder-Bereiche.Prüfen Sie nach der Anmeldung an der Management-Konsole außerdem, dass die CAIdentityMinder-Umgebung angezeigt wird, wenn Sie die Umgebungen auswählen.Migrieren der Datei "iam_im.ear" für JBossSie müssen die Datei "iam_im.ear" jedes Mal erneut bereitstellen, wenn Funktionen vonder Entwicklungsumgebung auf die Produktionsumgebung migriert werden. Durch dieMigration der gesamten EAR-Datei stellen Sie sicher, dass die Entwicklungsumgebungmit der Produktionsumgebung identisch ist.262 Konfigurationshandbuch

Migrieren der Datei "iam_im.ear" für WebLogicGehen Sie wie folgt vor:1. Kopieren Sie die Datei "iam_im.ear" von Ihrer Entwicklungsumgebung in einVerzeichnis, auf das Ihre Produktionsumgebung Zugriff hat.2. Bearbeiten Sie in der Kopie der Datei "iam_im.ear" die Verbindungsinformationenfür den Richtlinienserver, sodass diese die Produktionsumgebung widerspiegeln.Um diese Änderung durchzuführen, kopieren Sie die Datei"jboss_home/server/default/iam_im.ear/policyserver_rar/META-INF/ra.xml" ausder Produktionsumgebung in die Datei "iam_im.ear".3. Ersetzen Sie wie folgt die installierte Datei "iam_im.ear" durch die Kopie der Datei"iam_im.ear" aus der Entwicklungsumgebung:a. Löschen Sie auf dem Produktionsserver die Datei "iam_im.ear":cluster_node_jboss_home\server\default\deploy\iam_im.earb. Ersetzen Sie die gelöschte Datei durch die bearbeitete Kopie der Datei"iam_im.ear" aus der Entwicklungsumgebung.4. Wiederholen Sie diese Schritte für jeden Knoten im Cluster.Migrieren der Datei "iam_im.ear" für WebLogicSie müssen die Datei "iam_im.ear" jedes Mal erneut bereitstellen, wenn Funktionen vonder Entwicklungsumgebung auf die Produktionsumgebung migriert werden. Durch dieMigration der gesamten EAR-Datei stellen Sie sicher, dass die Entwicklungsumgebungmit der Produktionsumgebung identisch ist.Gehen Sie wie folgt vor:1. Behalten Sie die Verbindungsinformationen für den Richtlinienserver bei.Die Verbindungsinformationen für den Richtlinienserver werden in der Datei"ra.xml" im Verzeichnis "policyserver_rar/WEB-INF" gespeichert. Kopieren Sie dieseDatei in ein anderes Verzeichnis, sodass diese in der Datei "iam_im.ear" vor dererneuten Bereitstellung ersetzt werden kann.2. Kopieren Sie die Datei "iam_im.ear" in ein Verzeichnis, auf das derWebLogic-Admin-Server zugreifen kann.Kapitel 9: Produktionsumgebungen 263

Migrieren der Datei "iam_im.ear" für WebSphere3. Ersetzen Sie die Verbindungsinformationen für den Richtlinienserver.Ersetzen Sie in der Datei "iam_im.ear" die Datei "policyserver_rar/WEB-INF/ra.xml"durch die im Schritt 1 gespeicherte Datei.4. Stellen Sie die Datei "iam_im.ear" erneut bereit.a. Melden Sie sich an der WebLogic-Konsole an.b. Wechseln Sie zu "Deployments" (Bereitsellungen), "Application" (Anwendung),"IdentityMinder".Wählen Sie auf der Registerkarte "Deploy" (Bereitstellen) die Option "Deploy(Re-Deploy) Application" (Anwendung (erneut) bereitstellen) aus.Migrieren der Datei "iam_im.ear" für WebSphereGehen Sie wie folgt vor:1. Kopieren Sie das Skript imsInstall.jacl aus dem Verzeichniswas_im_tools_dir\WebSphere-tools in das Verzeichnis deployment_manager_dir\bin. Dabei gilt:■■was_im_tools_dir ist das Verzeichnis auf dem Entwicklungssystem, in dem dieCA IdentityMinder-Tools für WebSphere installiert sind.deployment_manager_dir ist das Verzeichnis, in dem derBereitstellungsmanager installiert ist.2. Kopieren Sie auf dem Entwicklungssystem, auf dem Sie die CAIdentityMinder-Anwendung konfiguriert haben, die Datei was_im_tools_dir\WebSphere-tools\imsExport.bat oder imsExport.sh in das Verzeichniswas_home\bin.3. Navigieren Sie in der Befehlszeile zu was_home\bin.4. Stellen Sie sicher, dass der WebSphere-Anwendungsserver ausgeführt wird.264 Konfigurationshandbuch

Migrieren der Datei "iam_im.ear" für WebSphere5. Exportieren Sie die bereitgestellte CA IdentityMinder-Anwendung wie folgt:Geben Sie unter Windows den folgenden Befehl ein:imsExport.bat "path-to-exported-ear"Dabei steht path-to-exported-ear für den vollständigen Pfad und Dateinamen,die vom imsExport-Dienstprogramm erstellt wurden.Verwenden Sie für Windows-Systeme Schrägstriche (/) anstelle vonumgekehrten Schrägstrichen (\), wenn Sie den Pfad zur Datei "was_im.ear"angeben. Beispiel:imsExport.bat "c:/program files/CA/CA Identity Manager/exported_ear/iam_im.ear"Geben Sie unter UNIX den folgenden Befehl ein:./wsadmin -f imsExport.jacl -conntype RMI -port 2809 path to exported earDabei steht path-to-exported-ear für den vollständigen Pfad, einschließlichDateinamen, der exportierten EAR-Datei.6. Kopieren Sie die exportierte EAR-Datei von dem Verzeichnis auf demEntwicklungssystem, in das Sie diese exportiert haben, in ein Verzeichnis auf demSystem, auf dem der Bereitstellungsmanager installiert ist.7. Ersetzen Sie die Datei"was_im_tools_dir/WebSphere-ear/iam_im.ear/policyserver_rar/META-INF/ra.xml"durch die aus der Produktionsumgebung.Die Datei "ra.xml" enthält die Verbindungsinformationen für den Richtlinienserver.8. Stellen Sie auf dem System, auf dem der Bereitstellungsmanager installiert ist, dieEAR-Datei von IdentityMinder bereit:a. Navigieren Sie in der Befehlszeile zu:deployment_manager_dir \bin.b. Stellen Sie sicher, dass der WebSphere-Anwendungsserver ausgeführt wird.c. Führen Sie das Skript "imsInstall.jacl" wie folgt aus:Hinweis: Die Ausführung des Skripts "imsInstall.jacl" kann mehrere Minuten inAnspruch nehmen.Windows:wsadmin -f imsInstall.jacl "path-to-copied-ear" cluster_nameDabei steht path-to-copied-ear für den vollständigen Pfad, einschließlichDateinamen, der EAR-Datei von IdentityMinder, die Sie auf dasBereitstellungsmanagersystem kopiert haben.Beispiel:wsadmin -f imsInstall.jacl "c:\Programme\CA\IdentityManager\WebSphere-tools\was_im.ear" im_clusterKapitel 9: Produktionsumgebungen 265

Migrieren von Workflow-ProzessdefinitionenUNIX:./wsadmin -f imsInstall.jacl path-to-copied-ear cluster_nameDabei steht path-to-copied-ear für den vollständigen Pfad, einschließlichDateinamen, der EAR-Datei von IdentityMinder, die Sie auf dasBereitstellungsmanagersystem kopiert haben.Beispiel:./wsadmin -f imsInstall.jacl /opt/CA/IdentityManager/WebSphere-tools/was_im.ear im_cluster9. Wenn CA IdentityMinder mit SiteMinder integriert ist, prüfen Sie die folgendenPunkte:■■■Die SiteMinder-Agenten können eine Verbindung mit Ihrem Richtlinienspeicherherstellen.Der Richtlinienserver kann eine Verbindung mit dem Benutzerspeicherherstellen.Die CA IdentityMinder-Domänen wurden erstellt.Migrieren von Workflow-ProzessdefinitionenWenn Sie in der Entwicklungsumgebung einen Workflow verwendet haben, exportierenSie die Workflow-Definitionen, und importieren Sie sie in die Produktionsumgebung.Konfigurieren Sie anschließend den Workflow in jedem Serverknoten.Exportieren von ProzessdefinitionenExportieren Sie die Workflow-Prozessdefinitionen auf demEntwicklungsumgebungssystem.Gehen Sie wie folgt vor:1. Stellen Sie sicher, dass der Anwendungsserver ausgeführt wird.2. Wechseln Sie in das Verzeichnis " admin_tools\Workpoint\bin\", und führen Sie dieDatei "Archive.bat" (für Windows) oder "Archive.sh" (für UNIX) wie folgt aus:a. Wählen Sie im Dialogfeld "Importieren" das Stammobjekt aus.b. Klicken Sie auf "Hinzufügen".c. Geben Sie den Namen der zu generierenden Datei an.266 Konfigurationshandbuch

Migrieren von Workflow-Prozessdefinitionend. Klicken Sie auf "Exportieren".e. Klicken Sie auf "Los".admin_tools bezieht sich auf die Verwaltungstools, die standardmäßig in einem derfolgenden Verzeichnisse installiert werden:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools3. Führen Sie die Anweisungen im nächsten Abschnitt Importieren vonProzessdefinitionen (siehe Seite 267) aus.Importieren von ProzessdefinitionenImportieren Sie auf dem Produktionsumgebungssystem dieWorkflow-Prozessdefinitionen.Gehen Sie wie folgt vor:1. Starten Sie den Anwendungsserver neu.2. Erstellen Sie optional eine Sicherungskopie der aktuellen Definitionen, indem Siedie Definitionen mithilfe des vorangehenden Verfahrens exportieren.3. Wechseln Sie in das Verzeichnis "admin_tools\Workpoint\bin\", und führen Sie dasArchive-Skript wie folgt aus:a. Wählen Sie im Dialogfeld "Importieren" alle zu importierenden Elemente aus.b. Wenn Sie gefragt werden, ob das neue oder das alte Format verwendet werdensoll, behalten Sie das alte Format bei.CA IdentityMinder wird von dem neuen Format nicht unterstützt.c. Geben Sie den Namen der durch den Export generierten Datei an.d. Klicken Sie auf "Los".admin_tools bezieht sich auf die Verwaltungstools, die standardmäßig in einem derfolgenden Verzeichnisse installiert werden:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\toolsUNIX: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//toolsKapitel 9: Produktionsumgebungen 267

Kapitel 10: CA IdentityMinder-ProtokolleDieses Kapitel enthält folgende Themen:So verfolgen Sie Probleme in CA IdentityMinder (siehe Seite 269)So verfolgen Sie Komponenten und Datenfelder (siehe Seite 271)So verfolgen Sie Probleme in CA IdentityMinderCA IdentityMinder beinhaltet die folgenden Methoden zum Aufzeichnen des Status undNachverfolgen von Problemen:Die Aufgabe "Gesendete Aufgaben anzeigen"Zeigt den Status aller Ereignisse und Aufgaben in einer CAIdentityMinder-Umgebung an. Administratoren verwenden diese Aufgabe in derBenutzerkonsole.Durch "Gesendete Aufgaben anzeigen" werden die folgenden Arten vonInformationen bereitgestellt:■■Die Liste der Ereignisse und Aufgabe in der UmgebungDie Liste der Attribute, die einem Ereignis zugeordnet sind■■■■■■Erfolgreiche und fehlgeschlagene EreignisseAusstehende oder blockierte EreignisseAbgelehnte Ereignisse, einschließlich des Grundes für die AblehnungStatus der KontosynchronisierungStatus der IdentitätsrichtliniensynchronisierungBereitstellungsinformationen (wenn die Bereitstellung aktiviert ist)Kapitel 10: CA IdentityMinder-Protokolle 269

So verfolgen Sie Probleme in CA IdentityMinderAnwendungsserverprotokolleDiese Protokolle zeigen Informationen zu allen Komponenten in einer CAIdentityMinder-Installation an und enthalten Details zu allen Vorgängen in CAIdentityMinder.Der Speicherort und Typ der Protokolldatei hängt davon ab, welchen der folgendenAnwendungsservertypen Sie verwenden:■■■WebLogic - CA IdentityMinder-Informationen werden in die Standardausgabegeschrieben. Die Standardausgabe ist normalerweise das Konsolenfenster, indem die Serverinstanz ausgeführt wird.JBoss - CA IdentityMinder-Informationen werden in das Konsolenfenster, indem die Serverinstanz ausgeführt wird, und in die Datei"jboss_home\server\log\server.log" geschrieben.WebSphere - CA IdentityMinder-Informationen werden in das Konsolenfenster,in dem die Serverinstanz ausgeführt wird, und in die Datei"was_home\AppServer\logs\server_name\SystemOut" geschrieben.Weitere Informationen finden Sie in der Dokumentation zu IhremAnwendungsserver.Verzeichnisserver-ProtokolldateiEnthält Informationen zu Aktivitäten im Benutzerverzeichnis.Die Art der aufgezeichneten Informationen und der Speicherort der Protokolldateihängen vom Typ des verwendeten Verzeichnisservers ab. Weitere Informationenfinden Sie in der Dokumentation zum Verzeichnisserver.Richtlinienserver-ProtokolldateiZeigt die folgenden Informationen an, wenn CA IdentityMinder mit SiteMinderintegriert ist:■■■■SiteMinder-VerbindungsproblemeSiteMinder-AuthentifizierungsproblemeInformation zu verwalteten Objekte von CA IdentityMinder imSiteMinder-RichtlinienspeicherKennwortrichtlinienauswertungWeitere Informationen zum Konfigurieren von SiteMinder-Protokollen finden Sie imCA SiteMinder Web Access Manager Policy Server-Administrationshandbuch.Richtlinienserver-ProfilerErmöglicht Ihnen bei einer Integration von CA IdentityMinder mit SiteMinder dieNachverfolgung von Diagnose- und Verarbeitungsfunktionen des internenRichtlinienservers, einschließlich auf CA IdentityMinder bezogener Funktionen.Weitere Informationen finden Sie unter So verfolgen Sie Komponenten undDatenfelder (siehe Seite 271).270 Konfigurationshandbuch

So verfolgen Sie Komponenten und DatenfelderWeb-Agent-ProtokolldateienWenn CA IdentityMinder mit SiteMinder integriert ist, schreiben die Web-AgentenInformationen in die beiden folgenden Protokolle:■■Fehlerprotokolldatei - Diese enthält Fehler auf Programm- und Betriebsebene,zum Beispiel wenn der Web-Agent keine Verbindung mit dem Richtlinienserverherstellen kann.Verfolgungsprotokolldatei - Diese enthält Warnungen undInformationsmeldungen, wie Ablaufverfolgungsmeldungen undAblaufstatusmeldungen. Darüber hinaus sind Daten wie Headerdetails undCookievariablen hierin eingeschlossen.Hinweis: Weitere Informationen zu Web-Agent-Protokolldateien finden Sie im CASiteMinder Web Access Manager Web Agent-Konfigurationshandbuch.So verfolgen Sie Komponenten und DatenfelderWenn CA IdentityMinder mit SiteMinder integriert ist, können Sie denRichtlinienserver-Profiler von SiteMinder verwenden, um Komponenten undDatenfelder in den CA IdentityMinder-Erweiterungen für den Richtlinienserver zuverfolgen. Mithilfe des Profilers können Sie Filter für die Ablaufverfolgungsausgabekonfigurieren, sodass nur bestimmte Werte für eine Komponente oder ein Datenfelderfasst werden.Hinweis: Anweisungen zur Verwendung des Richtlinienserver-Profilers finden Sie im CASiteMinder Web Access Manager Policy Server-Administrationshandbuch.Sie können die Ablaufverfolgung für die folgenden Komponenten aktivieren:Function_Begin_EndStellt untergeordnete Ablaufverfolgungsanweisungen bereit, wenn gewisseMethoden in den CA IdentityMinder-Erweiterungen für den Richtlinienserverausgeführt werden.IM_ErrorVerfolgt Laufzeitfehler in den CA IdentityMinder-Erweiterungen für denSiteMinder-Richtlinienserver.IM_InfoStellt allgemeine Ablaufverfolgungsinformationen für die CAIdentityMinder-Erweiterungen bereit.IM_InternalVerfolgt allgemeine Informationen über interne CA IdentityMinder-Vorgänge.Kapitel 10: CA IdentityMinder-Protokolle 271

So verfolgen Sie Komponenten und DatenfelderIM_MetaDataStellt Ablaufverfolgungsinformationen bereit, wenn CA IdentityMinder dieVerzeichnismetadaten verarbeitet.IM_RDB_SqlStellt Ablaufverfolgungsinformationen für relationale Datenbanken bereit.IM_LDAP_ProviderStellt Ablaufverfolgungsinformationen für LDAP-Verzeichnisse bereit.IM_RuleParserVerfolgt die Analyse und Auswertung von in einer XML-Datei definiertenMitglieder-, Besitzer- und Admin-Richtlinien, die zur Laufzeit interpretiert werden.IM_RuleEvaluationVerfolgt die Auswertung von Mitglieder-, Admin-, Besitzer- und Bereichsregeln.IM_MemberPolicyVerfolgt die Auswertung von Mitgliederrichtlinien, einschließlich Mitgliedschaft undBereich.IM_AdminPolicyVerfolgt die Auswertung von Admin-Richtlinien.IM_OwnerPolicyVerfolgt die Auswertung von Besitzerrichtlinien.IM_RoleMembershipVerfolgt Informationen bezüglich der Rollenmitgliedschaft, wie die Liste der Rolleneines Benutzer und die Liste der Mitglieder in einer bestimmten Rolle.IM_RoleAdminsVerfolgt Informationen bezüglich der Rollenverwaltung, wie die Liste der Rollen, dieein Benutzer verwalten kann, und die Liste der Administratoren für eine bestimmteRolle.IM_RoleOwnersVerfolgt Informationen bezüglich des Rollenbesitzes, wie die Liste der Rollen, dieein Benutzer besitzt, und die Liste der Besitzer für eine bestimmte Rolle.IM_PolicyServerRulesVerfolgt die Auswertung von Mitgliederregeln, wie RoleMember, RoleAdmin undRoleOwner, die der Richtlinienserver aufgelöst hat, und von Bereichsregeln, wie Allund AccessTaskFilter, für Zugriffsaufgaben.272 Konfigurationshandbuch

So verfolgen Sie Komponenten und DatenfelderIM_LLSDK_CommandVerfolgt die Kommunikation zwischen dem internen CA IdentityMinder-SDK unddem Richtlinienserver. Der technische Support verwendet dieseVerfolgungskomponente.IM_LLSDK_MessageVerfolgt, ob Meldungen mittels Java-Code explizit vom internen CAIdentityMinder-SDK an den Richtlinienserver gesendet werden. Der technischeSupport verwendet diese Verfolgungskomponente.IM_IdentityPolicyVerfolgt die Auswertung und Anwendung von Identitätsrichtlinien.IM_PasswordPolicyVerfolgt die Auswertung von Kennwortrichtlinien.IM_VersionStellt Informationen zur CA IdentityMinder-Version bereit.IM_CertificationPolicyVerfolgt die Auswertung von Zertifizierungsrichtlinien.IM_InMemoryEvalVerfolgt die Verarbeitung von CA IdentityMinder-Richtlinien, einschließlichMitglieder-, Admin-, Besitzer- und Identitätsrichtlinien. Der technische Supportverwendet diese Verfolgungskomponente.IM_InMemoryEvalDetailStellt zusätzliche Informationen zur Verarbeitung von CA IdentityMinder-Richtlinienbereit, einschließlich Mitglieder-, Admin-, Besitzer- und Identitätsrichtlinien. Dertechnische Support verwendet diese Verfolgungskomponente.Die Datenfelder, für die Sie die Ablaufverfolgung konfigurieren können, werden im CASiteMinder Web Access Manager Policy Server-Administrationshandbuch aufgeführt.Kapitel 10: CA IdentityMinder-Protokolle 273

Kapitel 11: CA IdentityMinder-SchutzDieses Kapitel enthält folgende Themen:Sicherheit an der Benutzerkonsole (siehe Seite 275)Sicherheit an der Management-Konsole (siehe Seite 276)Schutz vor CSRF-Angriffen (siehe Seite 281)Sicherheit an der BenutzerkonsoleDie Benutzerkonsole ist die Benutzeroberfläche, an der Administratoren Objekte wieBenutzer, Gruppen und Organisationen in einer CA IdentityMinder-Umgebungverwalten können. Diesen Objekten wird ein Satz zugehöriger Rollen und Aufgabenzugeordnet. Wenn sich ein Administrator an der Benutzerkonsole anmeldet, werden diemit dem Administrator verknüpften Aufgaben in dieser Umgebung angezeigt.Standardmäßig schränkt CA IdentityMinder den Zugriff auf die Benutzerkonsole mittelseiner systemeigenen Authentifizierung ein. CA IdentityMinder-Administratoren müsseneinen gültigen Benutzernamen und ein Kennwort eingeben, um sich an einer CAIdentityMinder-Umgebung anzumelden. CA IdentityMinder authentifiziert den Namenund das Kennwort mithilfe des Benutzerspeichers, den CA IdentityMinder verwaltet.Wenn allerdings CA IdentityMinder mit SiteMinder integriert ist, verwendet CAIdentityMinder automatisch die grundlegende SiteMinder-Authentifizierung, um dieUmgebung zu schützen. Es ist keine zusätzliche Konfiguration erforderlich, um diegrundlegende Authentifizierung zu verwenden. Sie können jedoch erweiterteAuthentifizierungsmethoden mithilfe der administrativenSiteMinder-Benutzeroberfläche konfigurieren.Hinweis: Weitere Informationen finden Sie im CA SiteMinder Web Access ManagerPolicy Server-Konfigurationshandbuch.Kapitel 11: CA IdentityMinder-Schutz 275

Sicherheit an der Management-KonsoleSicherheit an der Management-KonsoleDie Management-Konsole ermöglicht Administratoren, CA IdentityMinder-Verzeichnisseund -Umgebungen zu erstellen und zu verwalten. Darüber hinaus könnenAdministratoren die Management-Konsole verwenden, um benutzerdefinierteFunktionen für eine Umgebung zu konfigurieren.Die CA IdentityMinder-Installation beinhaltet eine Option zum Schutz derManagement-Konsole. Diese Option ist standardmäßig aktiviert. Während derInstallation geben Sie Anmeldeinformationen an, die CA IdentityMinder zumAuthentifizieren eines Administrators verwendet, der auf die Management-Konsolezugreifen kann. CA IdentityMinder erstellt einen Benutzer mit denAnmeldeinformationen, die Sie in einem Bootstrap-Verzeichnis namens"AuthenticationDirectory" angeben. Sie können dieses Verzeichnis in derManagement-Konsole anzeigen.Hinweis: Sie können die systemeigene Sicherheit nicht verwenden, um dieManagement-Konsole zu schützen, wenn CA IdentityMinder mit CA SiteMinderintegriert ist.Wichtig! "AuthenticationDirectory" ist ein reines Bootstrap-Verzeichnis. Das Kennwortin diesem Verzeichnis wird nicht verschlüsselt. CA Technologies empfiehlt dringend,dass Sie nach der Anmeldung an der Management-Konsole ein anderes Verzeichnis fürdie Authentifizierung konfigurieren (siehe Seite 277).276 Konfigurationshandbuch

Sicherheit an der Management-KonsoleHinzufügen zusätzlicher Administratoren zur Management-KonsoleStandardmäßig hat eine Management-Konsole, die durch die systemeigene CAIdentityMinder-Sicherheit geschützt wird, ein Administratorkonto, das während derInstallation in einem neuen CA IdentityMinder-Verzeichnis erstellt wird.Um zusätzliche Administratoren hinzuzufügen, geben Sie ein CAIdentityMinder-Verzeichnis an, das die Benutzer enthält, die Zugriff auf dieManagement-Konsole haben sollen. Durch die Verwendung eines vorhandenenVerzeichnisses können Sie Benutzern in Ihrer Organisation Zugriff auf dieManagement-Konsole erteilen, ohne dass Sie neue Konten erstellen müssen.Sie können nur ein Verzeichnis für die Authentifizierung angeben. Ein Verzeichnis, dasfür die Authentifizierung konfiguriert ist, kann nicht gelöscht werden.Gehen Sie wie folgt vor:1. Melden Sie sich mit den während der Installation angegebenenBenutzeranmeldeinformationen an der Management-Konsole an.2. Ö ffnen Sie "Directories", und klicken Sie auf das Verzeichnis mit den Benutzern, dieZugriff auf die Management-Konsole benötigen.3. Klicken Sie auf "Update Authentication".4. Wählen Sie die Option "Used for Authentication" aus.5. Geben Sie den Benutzernamen des ersten Benutzers ein, und klicken Sie auf "Add".6. Fügen Sie weitere Benutzer hinzu, die Zugriff auf die Management-Konsolebenötigen, bis alle Benutzer hinzugefügt wurden. Klicken Sie dann auf "Speichern".Die angegebenen Benutzer können nun mit ihrem Benutzernamen und Kennwortauf die Management-Konsole zugreifen.Kapitel 11: CA IdentityMinder-Schutz 277

Sicherheit an der Management-KonsoleDeaktivieren der systemeigenen Sicherheit für die Management-KonsoleWenn Sie die systemeigene Sicherheit für die Management-Konsole aktiviert haben undjetzt eine andere Anwendung zum Schutz der Management-Konsole verwendenmöchten, müssen Sie die systemeigene Sicherheit deaktivieren, bevor Sie eine andereSicherheitsmethode implementieren.Gehen Sie wie folgt vor:1. Deaktivieren Sie die systemeigene Sicherheit für die Management-Konsole in derDatei "web.xml" wie folgt:a. Ö ffnen Sie die Datei "CAIdentityMinder_installation\iam_im.ear\management_console.war\WEB-INF\web.xml" in einem Texteditor.b. Legen Sie den Wert des Parameters "Enable" für"ManagementConsoleAuthFilter" wie folgt auf "false" fest:ManagementConsoleAuthFiltercom.netegrity.ims.manage.filter.ManagementConsoleAuthFilterEnablefalsec. Speichern Sie die Datei "web.xml".2. Starten Sie den CA IdentityMinder-Server neu.Die Management-Konsole ist nicht mehr durch die systemeigene Sicherheitgeschützt.Schützen der Management-Konsole mit SiteMinderUm die Management-Konsole von Anfang an zu schützen, können Sie eineSiteMinder-Richtlinie erstellen.Eine SiteMinder-Richtlinie kennzeichnet eine Ressource, die Sie schützen möchten, z. B.die Management-Konsole, und erteilt einer Gruppe von Benutzern Zugriff auf dieseRessource.278 Konfigurationshandbuch

Sicherheit an der Management-KonsoleGehen Sie wie folgt vor:1. Deaktivieren Sie die systemeigene Sicherheit (siehe Seite 278) für dieManagement-Konsole.2. Melden Sie sich bei einer der folgenden Schnittstellen als Administrator mitDomänenberechtigungen an:■■Für CA SiteMinder r12 oder höher melden Sie sich bei derVerwaltungsoberfläche an.Melden Sie sich bei CA SiteMinder 6.0 SPx an der Benutzeroberfläche desRichtlinienservers an.Hinweis: Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie inder Dokumentation der SiteMinder-Version, die Sie verwenden.3. Suchen Sie die Richtliniendomäne für die jeweilige CA IdentityMinder-Umgebung.Diese Domäne wird automatisch erstellt, wenn CA IdentityMinder mit SiteMinderintegriert ist. Der Domänenname hat das folgende Format:Identity Manager-UmgebungDomainDabei steht Identity Manager-environment für den Namen der Umgebung, die Sieändern. Wenn zum Beispiel der Name employees ist, lautet der Domänenname"employeesDomain".4. Erstellen Sie einen Bereich mit dem folgenden Ressourcenfilter:/iam/immanage/5. Erstellen Sie eine Regel für den Bereich. Geben Sie ein Sternchen (*) als Filter an,um alle Seiten in der Management-Konsole zu schützen.6. Erstellen Sie eine neue Richtlinie, und ordnen Sie sie der Regel zu, die Sie imvorherigen Schritt erstellt haben.Stellen Sie sicher, dass Sie Benutzer zuordnen, die mithilfe der Richtlinie auf dieManagement-Konsole zugreifen können.7. Starten Sie den Anwendungsserver neu.Kapitel 11: CA IdentityMinder-Schutz 279

Sicherheit an der Management-KonsoleSchützen einer vorhandenen Umgebung nach einem UpgradeNach einem Upgrade auf CA IdentityMinder 12.6 oder höher können Sie dieManagement-Konsole mithilfe der systemeigenen Sicherheit schützen.Hinweis: Sie können die systemeigene CA IdentityMinder-Sicherheit nicht verwenden,um die Management-Konsole zu schützen, wenn CA IdentityMinder mit CA SiteMinderintegriert ist.Gehen Sie wie folgt vor:1. Aktivieren Sie die systemeigene Sicherheit für die Management-Konsole in derDatei "web.xml" wie folgt:a. Ö ffnen Sie die Datei "CAIdentityMinder_installation\iam_im.ear\management_console.war\WEB-INF\web.xml" in einem Texteditor.b. Legen Sie den Wert des Parameters "Enable" für"ManagementConsoleAuthFilter" wie folgt auf "true" fest:ManagementConsoleAuthFiltercom.netegrity.ims.manage.filter.ManagementConsoleAuthFilterEnabletruec. Speichern Sie die Datei "web.xml".2. Erstellen Sie die Tabelle IM_AUTH_USER im CA IdentityMinder-Objektspeicher.In der Tabelle IM_AUTH_USER werden Informationen zu den Administratoren in derManagement-Konsole gespeichert.a. Wechseln Sie in das Verzeichnis "CA\Identity Manager\IAM Suite\IdentityManager\tools\db\objectstore".b. Führen Sie eines der folgenden Skripte für den Objektspeicher aus:■■sql_objectstore.sqloracle_objectstore.sqlHinweis: Weitere Informationen zum Ausführen eines Skripts für eine vorhandeneDatenbank finden Sie in der Herstellerdokumentation zur jeweiligen Datenbank.280 Konfigurationshandbuch

Schutz vor CSRF-Angriffen3. Fügen Sie die Bootstrap-Benutzerinformationen in die Tabelle IM_AUTH_USER ein.Geben Sie Werte für alle Spalten in der Tabelle IM_AUTH_USER an.Beispiel:USER_NAME: admin1PASSWORD: anypasswordDISABLED: 0ID:14. Starten Sie den CA IdentityMinder-Server neu.Die Management-Konsole ist durch die systemeigene Sicherheit geschützt.Schutz vor CSRF-AngriffenCA IdentityMinder wurde erweitert, um den Schutz vor CSRF-Angriffen (Cross-SiteRequest Forgery, websiteübergreifende Anforderungsfälschung) zu verbessern.Standardmäßig ist diese Erweiterung in CA IdentityMinder deaktiviert.So aktivieren Sie die Erweiterung:1. Ö ffnen Sie die Datei "web.xml" in folgendem Verzeichnis:application-server/iam_im.ear/user_console.war/WEB-INF2. Suchen Sie das -Element mit der Angabe "csrf-prevention-on".3. Legen Sie für "" den Wert "true" fest.4. Starten Sie den Anwendungsserver neu.Kapitel 11: CA IdentityMinder-Schutz 281

Kapitel 12: Integration von CA SiteMinderDieses Kapitel enthält folgende Themen:SiteMinder und CA IdentityMinder (siehe Seite 284)So schützen Sie Ressourcen (siehe Seite 285)Ü bersicht über die Integration von SiteMinder und CA IdentityMinder (siehe Seite 286)Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinder (siehe Seite290)Importieren des CA IdentityMinder-Schemas in den Richtlinienspeicher (siehe Seite 297)Erstellen eines SiteMinder 4.X-Agentenobjekts (siehe Seite 297)Exportieren der CA IdentityMinder-Verzeichnisse und Umgebungen (siehe Seite 299)Löschen aller Verzeichnis- und Umgebungsdefinitionen (siehe Seite 300)Aktivieren des SiteMinder-Richtlinienserver-Ressourcenadapters (siehe Seite 301)Deaktivieren des systemeigenen CA IdentityMinder-Framework-Authentifizierungsfilter(siehe Seite 302)Neustarten des Anwendungsservers (siehe Seite 303)Konfigurieren einer Datenquelle für SiteMinder (siehe Seite 303)Importieren der Verzeichnisdefinitionen (siehe Seite 304)Aktualisieren und Importieren von Umgebungsdefinitionen (siehe Seite 305)Installieren des Web-Proxyserver-Plug-ins (siehe Seite 305)Zuordnen des SiteMinder-Agenten zu einer CA IdentityMinder-Domäne (siehe Seite 326)Konfigurieren des SiteMinder-Parameters "LogOffUrI" (siehe Seite 327)Fehlerbehebung (siehe Seite 327)So konfigurieren Sie CA IdentityMinder-Agent-Einstellungen (siehe Seite 337)Konfigurieren der SiteMinder-Hochverfügbarkeit (siehe Seite 338)Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder-Bereitstellung(siehe Seite 341)SiteMinder-Vorgänge (siehe Seite 341)Kapitel 12: Integration von CA SiteMinder 283

SiteMinder und CA IdentityMinderSiteMinder und CA IdentityMinderBei Integration von CA IdentityMinder und CA SiteMinder kann CA SiteMinder die CAIdentityMinder-Umgebung um die folgenden Funktionen ergänzen:Erweiterte AuthentifizierungCA IdentityMinder beinhaltet standardmäßig eine systemeigene Authentifizierungfür CA IdentityMinder-Umgebungen. CA IdentityMinder-Administratoren müsseneinen gültigen Benutzernamen und ein Kennwort eingeben, um sich an einer CAIdentityMinder-Umgebung anzumelden. CA IdentityMinder authentifiziert denNamen und das Kennwort mithilfe des Benutzerspeichers, den CA IdentityMinderverwaltet.Wenn CA IdentityMinder mit CA SiteMinder integriert ist, verwendet CAIdentityMinder die grundlegende CA SiteMinder-Authentifizierung, um dieUmgebung zu schützen. Beim Erstellen einer CA IdentityMinder-Umgebung werdenin CA SiteMinder eine Richtliniendomäne und ein Authentifizierungsschema erstellt,um diese Umgebung zu schützen.Ist CA IdentityMinder mit CA SiteMinder integriert, können Sie auch dieSiteMinder-Authentifizierung verwenden, um die Management-Konsole zuschützen.Zugriffsrollen und -aufgabenZugriffsrollen ermöglichen CA IdentityMinder-Administratoren, Berechtigungen inAnwendungen zuzuweisen, die von CA SiteMinder geschützt werden. DieseZugriffsrollen stellen eine einzelne Aktion dar, die ein Benutzer in einerGeschäftsanwendung ausführen kann, wie beispielsweise eine Bestellung in einerFinanzanwendung zu generieren.VerzeichniszuordnungEin Administrator muss möglicherweise Benutzer verwalten, deren Profile in einemanderen als dem für die Authentifizierung des Administrators verwendetenBenutzerspeicher enthalten sind. Bei der Anmeldung an der CAIdentityMinder-Umgebung wird der Administrator mithilfe eines Verzeichnissesauthentifiziert, und ein anderes Verzeichnis berechtigt den Administrator, Benutzerzu verwalten.Bei Integration von CA IdentityMinder und CA SiteMinder können Sie eine CAIdentityMinder-Umgebung so konfigurieren, dass unterschiedliche Verzeichnisse fürAuthentifizierung und Autorisierung verwendet werden.284 Konfigurationshandbuch

So schützen Sie RessourcenDesigns für unterschiedliche BenutzergruppenEin Design ändert das Erscheinungsbild der Benutzerkonsole. Bei Integration von CAIdentityMinder und CA SiteMinder können Sie festlegen, dass unterschiedlichenBenutzergruppen unterschiedliche Designs angezeigt werden. Um diese Änderungdurchzuführen, verwenden Sie zum Zuordnen eines Designs zu einerBenutzergruppe eine SiteMinder-Antwort. Die Antwort ist mit einer Regel in einerRichtlinie verknüpft, die einem Satz von Benutzern zugeordnet ist. Wenn die Regelausgelöst wird, wird wiederum die Antwort ausgelöst, um an CA IdentityMinderInformationen zum Design weiterzugeben, mit dem die Benutzerkonsole erstelltwerden soll.Hinweis: Weitere Informationen finden Sie im Handbuch zumBenutzerkonsolendesign.Gebietsschemavoreinstellungen für eine lokalisierte UmgebungBei Integration von CA IdentityMinder und CA SiteMinder können Sie mithilfe desHTTP-Headers "Imlanguage" Gebietsschemavoreinstellungen für einen Benutzerdefinieren. Sie legen diesen Header am SiteMinder-Richtlinienserver innerhalbeiner SiteMinder-Antwort fest und geben ein Benutzerattribut als Wert des Headersan. Dieser Imlanguage-Header dient als Gebietsschemavoreinstellung höchsterPriorität für einen Benutzer.Hinweis: Weitere Informationen finden Sie im Handbuch zumBenutzerkonsolendesign.Weitere Informationen:Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefiniertenAuthentifizierungsschemas (siehe Seite 342)So schützen Sie RessourcenFür die erweiterte Authentifizierung benötigen Sie einen SiteMinder-Richtlinienserver inIhrer Implementierung. Der Anwendungsserver, der den CA IdentityMinder-Serverhostet, befindet sich in einer anderen Betriebsumgebung als der Webserver. Um denWeiterleitungsdienst bereitzustellen, benötigt der Webserver Folgendes:■Ein vom Hersteller des Anwendungsservers bereitgestelltes Plug-in.■ Einen SiteMinder-Agenten, um die CA IdentityMinder-Ressourcen zu schützen, z. B.eine Benutzerkonsole oder Funktionen für die Selbstregistrierung oder fürvergessene Kennwörter.Kapitel 12: Integration von CA SiteMinder 285

Übersicht über die Integration von SiteMinder und CA IdentityMinderDer Web-Agent steuert den Zugriff von Benutzern, die CA IdentityMinder-Ressourcenanfordern. Nachdem die Benutzer authentifiziert und autorisiert wurden, lässt derWeb-Agent zu, dass der Webserver die Anforderungen verarbeitet.Wenn der Webserver die Anforderung empfängt, leitet das Anwendungsserver-Plug-indiese an den Anwendungsserver weiter, der den CA IdentityMinder-Server hostet.Der Web-Agent schützt die CA IdentityMinder-Ressourcen, die für Benutzer undAdministratoren offengelegt werden.Übersicht über die Integration von SiteMinder und CAIdentityMinderWenn der Richtlinienadministrator und der Identitätsadministrator zusammenarbeiten,um SiteMinder in eine vorhandene CA IdentityMinder-Installation zu integrieren, wirddie CA IdentityMinder-Architektur um die folgenden Komponenten erweitert:SiteMinder-Web-AgentSchützt den CA IdentityMinder-Server. Der Web-Agent wird auf dem System mitdem CA IdentityMinder-Server installiert.SiteMinder-RichtlinienserverStellt eine erweiterte Authentifizierung und Autorisierung für CA IdentityMinderbereit.286 Konfigurationshandbuch

Übersicht über die Integration von SiteMinder und CA IdentityMinderDie folgende Abbildung zeigt ein Beispiel für eine CA IdentityMinder-Installation miteinem SiteMinder-Richtlinienserver und -Web-Agenten:Hinweis: Die Komponenten werden als Beispiele auf unterschiedlichen Plattformeninstalliert. Allerdings können Sie andere Plattformen wählen. Die CAIdentityMinder-Datenbanken befinden sich auf Microsoft SQL Server und derBenutzerspeicher auf IBM Directory Server. Der SiteMinder-Richtlinienspeicher befindetsich auf AD LDS unter Windows.Für diesen Prozess werden zwei Rollen benötigt: der CAIdentityMinder-Identitätsadministrator und der SiteMinder-Richtlinienadministrator. Inmanchen Organisationen hat eine Person beide Rollen inne. Wenn zwei Personen andem Prozess beteiligt sind, ist für die Verfahren in diesem Szenario eine engeZusammenarbeit erforderlich. Der Richtlinienadministrator beginnt und beendet diesenProzess, während der Identitätsadministrator die Schritte dazwischen ausführt.Wichtig! Für CA IdentityMinder-Installationen ab Release 12.5 SP7 werden JavaCryptography Extension Unlimited Strength Jurisdiction Policy Files (JCE-Bibliotheken)benötigt. Laden Sie diese Bibliotheken von der Oracle-Website herunter. Laden Sie sie inden folgenden Ordner: \\jre\lib\security\.Kapitel 12: Integration von CA SiteMinder 287

Übersicht über die Integration von SiteMinder und CA IdentityMinderDas folgende Diagramm veranschaulicht den gesamten Prozess zur Integration vonSiteMinder und CA IdentityMinder:288 Konfigurationshandbuch

Übersicht über die Integration von SiteMinder und CA IdentityMinderGehen Sie wie folgt vor:1. Konfigurieren Sie den SiteMinder-Richtlinienspeicher für CA IdentityMinder. (sieheSeite 290)2. Importieren Sie das CA IdentityMinder-Schema in den Richtlinienspeicher. (sieheSeite 297)3. Erstellen Sie ein SiteMinder 4.X-Agentenobjekt. (siehe Seite 297)4. Exportieren Sie die CA IdentityMinder-Verzeichnisse und -Umgebungen. (sieheSeite 299)5. Löschen Sie alle Verzeichnis- und Umgebungsdefinitionen. (siehe Seite 300)6. Aktivieren Sie den Ressourcenadapter des SiteMinder-Richtlinienservers. (sieheSeite 301)7. Deaktivieren Sie den systemeigenen CA IdentityMinder Framework AuthenticationFilter. (siehe Seite 302)8. Starten Sie den Anwendungsserver neu. (siehe Seite 303)9. Konfigurieren Sie eine Datenquelle für SiteMinder. (siehe Seite 303)10. Importieren Sie die Verzeichnisdefinitionen. (siehe Seite 304)11. Aktualisieren und importieren Sie die Umgebungsdefinitionen. (siehe Seite 305)12. Starten Sie den Anwendungsserver neu. (siehe Seite 303)13. Installieren Sie das Web-Proxy-Server-Plug-in. (siehe Seite 305)14. Ordnen Sie den SiteMinder-Agenten einer CA IdentityMinder-Domäne zu. (sieheSeite 326)15. Konfigurieren Sie den Parameter "LogOffUrl" in SiteMinder. (siehe Seite 327)Kapitel 12: Integration von CA SiteMinder 289

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinderKonfigurieren des SiteMinder-Richtlinienspeichers für CAIdentityMinderAls Richtlinienadministrator verwenden Sie die CA IdentityMinder-Verwaltungstools, umauf SQL-Skripte oder LDAP-Schematext zuzugreifen und das IMS-Schema demRichtlinienspeicher hinzuzufügen. Der Identitätsadministrator hat diese Tools im Ordner"Admin Tools" installiert. Führen Sie eines der folgenden Verfahren durch, um denRichtlinienspeicher zu konfigurieren:Konfigurieren einer relationalen Datenbank (siehe Seite 291)Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server (sieheSeite 291)Konfigurieren von Microsoft Active Directory (siehe Seite 292)Konfigurieren von Microsoft ADAM (siehe Seite 293)Konfigurieren von CA Directory Server (siehe Seite 293)Konfigurieren von Novell eDirectory Server (siehe Seite 295)Konfigurieren von Oracle Internet Directory (OID) (siehe Seite 296)290 Konfigurationshandbuch

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinderKonfigurieren einer relationalen DatenbankNach der Konfiguration können Sie die relationale Datenbank alsSiteMinder-Richtlinienspeicher verwenden.Gehen Sie wie folgt vor:1. Konfigurieren Sie die Datenbank als einen unterstütztenSiteMinder-Richtlinienspeicher.Hinweis: Anweisungen zur Konfiguration finden Sie im Installationshandbuch zumSiteMinder-Richtlinienserver.2. Führen Sie das entsprechende Skript für Ihre Datenbank aus:■■SQL: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sqlOracle:/opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sqlDie vorangehenden Pfade sind die Standardinstallationsverzeichnisse. DerSpeicherort für Ihre Installation kann hiervon abweichen.Konfigurieren von Sun Java Systems Directory Server oder IBM Directory ServerZum Konfigurieren eines Java oder IBM Verzeichnisservers wenden Sie dieentsprechende Schemadatei an.Gehen Sie wie folgt vor:1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CASiteMinder-Richtlinienserver.2. Fügen Sie dem Verzeichnis die entsprechende LDIF-Schemadatei hinzu. DerStandardspeicherort für die LDIF-Dateien unter Windows ist"C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas".Fügen Sie die folgenden Schemadateien für Ihr Verzeichnis hinzu:■■IBM Directory Server:IBMDirectoryServer\V3.identityminder8Sun Java Systems Directory Server (iPlanet):SunJavaSystemDirectoryServer\sundirectory_ims8.ldifKapitel 12: Integration von CA SiteMinder 291

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinderKonfigurieren von Microsoft Active DirectoryUm einen Microsoft Active Directory-Richtlinienspeicher zu konfigurieren, wenden Siedas Skript "activedirectory_ims8.ldif" an.Gehen Sie wie folgt vor:1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CASiteMinder-Richtlinienserver.2. Ändern Sie die Schemadatei "activedirectory_ims8.ldif" wie folgt:a. Ö ffnen Sie die Datei "activedirectory_ims8.ldif" in einem Texteditor. DerStandardspeicherort unter Windows ist:C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas\MicrosoftActiveDirectoryb. Ersetzen Sie alle Instanzen von "{root}" durch die Stammorganisation für dasVerzeichnis.Die Stammorganisation muss mit der Stammorganisation übereinstimmen, dieSie beim Konfigurieren des Richtlinienspeichers in derRichtlinienserver-Management-Konsole angegeben haben.Wenn zum Beispiel die Stammorganisation "dc=myorg,dc=com" ist, ersetzenSie "dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root}" durch "dn:CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com".c. Speichern Sie die Datei.3. Fügen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentationzu Ihrem Verzeichnis hinzu.292 Konfigurationshandbuch

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinderKonfigurieren von Microsoft ADAMUm einen Microsoft ADAM-Richtlinienspeicher zu konfigurieren, wenden Sie das Skript"adam_ims8.ldif" an.Gehen Sie wie folgt vor:1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CASiteMinder-Richtlinienserver.Notieren Sie den CN-Wert (die GUID).2. Ändern Sie die Schemadatei "adam_ims8.ldif" wie folgt:a. Ö ffnen Sie die Datei "adam_ims8.ldif" in einem Texteditor. DerStandardspeicherort unter Windows ist:C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas\MicrosoftActiveDirectoryb. Ersetzen Sie jeden Verweis auf "cn={guid}" durch die Zeichenfolge, die Sie beimKonfigurieren des SiteMinder-Richtlinienspeichers in Schritt 1 diesesVerfahrens notiert haben.Wenn zum Beispiel die GUID-Zeichenfolge"CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}" ist, dann ersetzen Sie jedenVerweis auf "cn={guid}" durch"CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}".c. Speichern Sie die Datei.3. Fügen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentationzu Ihrem Verzeichnis hinzu.Konfigurieren von CA Directory ServerUm CA Directory Server zu konfigurieren, erstellen Sie eine benutzerdefinierteSchemadatei. In den nachfolgenden Schritten ist dxserver_home das Verzeichnis, in demCA Directory installiert ist. Das Standardinstallationsverzeichnis für diese Datei unterWindows ist "C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas\eTrustDirectory".Gehen Sie wie folgt vor:1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CASiteMinder-Richtlinienserver.2. Kopieren Sie die Datei "etrust_ims8.dxc" in das Verzeichnis"dxserver_home\config\schema".Kapitel 12: Integration von CA SiteMinder 293

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinder3. Erstellen Sie wie folgt eine benutzerdefinierte Schemakonfigurationsdatei:a. Kopieren Sie die Datei "dxserver_home\config\schema\default.dxg" nach"dxserver_home\config\schema\company_name-schema.dxg".b. Bearbeiten Sie die Datei"dxserver_home\config\schema\company_name-schema.dxg", indem Sie amEnde der Datei die folgenden Zeilen einfügen:# Identity Manager Schemasource "etrust_ims8.dxc";4. Bearbeiten Sie die Datei "dxserver_home\bin\schema.txt", indem Sie den Inhalt derDatei "etrust_ims_schema.txt" am Ende der Datei einfügen. DasStandardinstallationsverzeichnis für diese Datei unter Windows ist"C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas\eTrustDirectory".5. Erstellen Sie wie folgt eine benutzerdefinierte Beschränkungskonfigurationsdatei:a. Kopieren Sie die Datei "dxserver_home\config\limits\default.dxc" nach"dxserver_home\config\limits\company_name-limits.dxc".b. Erhöhen Sie die Standardgrößenbeschränkung in der Datei"dxserver_home\config\limits\company_name-limits.dxc" wie folgt auf 5.000:set max-op-size=5000Hinweis: Beim Upgrade von CA Directory wird die Datei "limits.dxc"überschrieben. Stellen Sie daher sicher, dass Sie nach Abschluss des Upgradesden Wert von "max-op-size" auf 5.000 zurücksetzen.6. Bearbeiten Sie die Datei "dxserver_home\config\servers\dsa_name.dxi" wie folgt:# schemasource "company_name-schema.dxg";#service limitssource "company_name-limits.dxc";Dabei steht dsa_name für den Namen des DSA bei Verwendung der angepasstenKonfigurationsdateien.7. Führen Sie das Dienstprogramm "dxsyntax" aus.8. Halten Sie wie folgt den DSA an, und starten Sie ihn als DSA-Benutzer neu, damit dieSchemaänderungen wirksam werden::dxserver stop dsa_namedxserver start dsa_name294 Konfigurationshandbuch

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinderKonfigurieren von Novell eDirectory ServerUm einen Novell eDirectory Server-Richtlinienspeicher zu konfigurieren, wenden Sie dasSkript "novell_ims8.ldif" an.Gehen Sie wie folgt vor:1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CASiteMinder-Richtlinienserver.2. Suchen Sie den definierten Namen (DN) des NCPServer für Novell eDirectory Server,indem Sie die folgenden Informationen in ein Befehlsfenster auf dem Systemeingeben, auf dem der Richtlinienserver installiert ist:ldapsearch -h hostname -p port -b container -s sub-D admin_login -w password objectClass=ncpServer dnBeispiel:ldapsearch -h 192,168.1,47 -p 389 -b "o=nwqa47container" -s sub -D"cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn3. Ö ffnen Sie die Datei "novell_ims8.ldif"..4. Ersetzen Sie jede NCPServer-Variable durch den in Schritt 2 ermittelten Wert.Der Standardspeicherort der Datei "novell_ims8.ldif" unter Windows ist:C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\policystore-schemas\NovelleDirectoryWenn zum Beispiel der DN-Wert "cn=servername,o=servercontainer" ist, würdenSie jede Instanz von NCPServer durch "cn=servername,o=servercontainer" ersetzen.5. Aktualisieren Sie eDirectory Server mit der Datei "novell_ims8.ldif".Anweisungen hierzu finden Sie in der Dokumentation zu Novell eDirectory.Kapitel 12: Integration von CA SiteMinder 295

Konfigurieren des SiteMinder-Richtlinienspeichers für CA IdentityMinderKonfigurieren von Oracle Internet Directory (OID)Um Oracle Internet Directory zu konfigurieren, aktualisieren Sie die Datei"oracleoid.ldif".Gehen Sie wie folgt vor:1. Konfigurieren Sie das Verzeichnis als unterstützten SiteMinder-Richtlinienspeicher.Hinweis: Konfigurationsanweisungen finden Sie im Installationshandbuch zum CASiteMinder-Richtlinienserver.2. Aktualisieren Sie Oracle Internet Directory Server mit der Datei"oracleoid_ims8.ldif". Das Standardinstallationsverzeichnis für diese Datei unterWindows ist:install_path\policystore-schemas\OracleOID\Anweisungen hierzu finden Sie in der Dokumentation zu Oracle Internet Directory.Prüfen des RichtlinienspeichersUm den Richtlinienspeicher zu prüfen, bestätigen Sie die folgenden Punkte:■■Das Richtlinienserverprotokoll enthält keinen Abschnitt mit Warnungen, der mitdem folgenden Code beginnt:*** IMS NO SCHEMA BEGINDiese Warnung wird nur angezeigt, wenn Sie die Erweiterungen für denSiteMinder-Richtlinienserver installiert, aber das Richtlinienspeicherschema nichterweitert haben.Die CA IdentityMinder-Objekte sind in der Datenbank oder dem Verzeichnis desRichtlinienspeichers vorhanden. Die CA IdentityMinder-Objekte fangen mit demPräfix "ims" an.296 Konfigurationshandbuch

Importieren des CA IdentityMinder-Schemas in den RichtlinienspeicherImportieren des CA IdentityMinder-Schemas in denRichtlinienspeicherDer Richtlinienadministrator importiert das CA IdentityMinder-Schema in denRichtlinienspeicher. Durch diese Aufgabe kann CA IdentityMinder Richtlinienobjekteerstellen, aktualisieren und löschen. Beispiele hierfür sind Verzeichnisobjekte,Domänen, Bereiche, Regeln, Richtlinien und die Richtlinienobjekte, die Zugriffsrollenund -aufgaben aktivieren.Gehen Sie wie folgt vor:1. Beenden Sie auf dem SiteMinder-Richtlinienserver den Richtlinienserverdienst.2. Führen Sie das CA IdentityMinder-Installationsprogramm für die Version aus, die Sieverwenden.3. Wenn Sie gefragt werden, welche Komponenten Sie installieren möchten, wählenSie die Erweiterungen für SiteMinder aus (wenn SiteMinder lokal installiert ist).4. Stellen Sie sicher, dass der Richtlinienserverdienst neu gestartet wurde, bevor Siefortfahren.Erstellen eines SiteMinder 4.X-AgentenobjektsDer Richtlinienadministrator erstellt einen SiteMinder 4.x-Web-Agenten. Diese Aufgabeermöglicht die Kommunikation zwischen SiteMinder und CA IdentityMinder. DerIdentitätsadministrator bezieht sich während der CA IdentityMinder-Konfiguration aufdiesen Agenten.Gehen Sie wie folgt vor:1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an.Die entsprechenden Registerkarten für Ihre Administratorrechte werden angezeigt.2. Klicken Sie auf "Infrastruktur", "Agenten", "Agent", "Agent erstellen".Das Dialogfeld "Agent erstellen" wird angezeigt.3. Wählen Sie "Neues Objekt des Typs 'Agent' erstellen" aus, und klicken Sie dann auf"OK".Das Dialogfeld "Agent erstellen" wird angezeigt.4. Geben Sie einen Namen und eine optionale Beschreibung ein.Hinweis: Verwenden Sie einen Namen, den Sie leicht zum entsprechendenSharePoint-Verbindungsassistenten zuordnen können.Kapitel 12: Integration von CA SiteMinder 297

Erstellen eines SiteMinder 4.X-Agentenobjekts5. Wählen Sie "SiteMinder".6. Wählen Sie "Web-Agent" aus der Dropdown-Liste aus.7. Aktivieren Sie die 4.x-Funktionalität mit den folgenden Schritten:a. Aktivieren Sie das Kontrollkästchen "Unterstützt 4.x-Agenten".Die Vertrauenseinstellungsfelder werden angezeigt.b. Fügen Sie die Vertrauenseinstellungen durch das Ausfüllen der folgendenFelder hinzu:IP-AdresseEnthält die IP-Adresse des Richtlinienservers.Gemeinsamer geheimer SchlüsselGibt ein Kennwort an, das dem 4.x-Agent-Objekt zugeordnet wird. DerSharePoint-Verbindungsassistent benötigt dieses Kennwort ebenfalls.Geheimen Schlüssel bestätigenBestätigt ein Kennwort, das dem 4.x-Agent-Objekt zugeordnet wird. DerSharePoint-Verbindungsassistent benötigt auch die Bestätigung vondiesem Kennwort.8. Klicken Sie auf "Senden".Die Aufgabe zum Erstellen des Agent-Objekts wird zur Verarbeitung übermittelt unddie Bestätigungsmeldung erscheint.298 Konfigurationshandbuch

Exportieren der CA IdentityMinder-Verzeichnisse und UmgebungenExportieren der CA IdentityMinder-Verzeichnisse undUmgebungenDer Integrationsprozess entfernt alle aktuellen Umgebungs- undVerzeichnisdefinitionen. Um sicherzustellen, dass diese Informationen beibehaltenwerden, exportiert der Identitätsadministrator die Umgebungen mithilfe der CAIdentityMinder-Management-Konsole. Nachdem Sie die Integration abgeschlossenhaben, stellen diese Definitionen die Verzeichnisse und Umgebungen wieder her.Gehen Sie wie folgt vor:1. Ö ffnen Sie die CA IdentityMinder-Management-Konsole.2. Klicken Sie auf "Directories" (Verzeichnisse).3. Klicken Sie auf das erste Verzeichnis in der Liste und dann auf "Export".4. Speichern und archivieren Sie die Verzeichnis-xml-Datei.5. Wiederholen Sie diesen Vorgang für die verbleibenden Verzeichnisse.6. Klicken Sie auf "Startseite" und dann auf "Umgebungen".7. Wählen Sie die erste Umgebung aus.8. Klicken Sie auf "Exportieren".9. Wiederholen Sie diesen Vorgang für die verbleibenden Umgebungen.Hinweis: Dieser Prozess kann ein paar Minuten für jede Umgebung dauern.Kapitel 12: Integration von CA SiteMinder 299

Löschen aller Verzeichnis- und UmgebungsdefinitionenLöschen aller Verzeichnis- und UmgebungsdefinitionenUm SiteMinder für den Schutz von CA IdentityMinder vorzubereiten, löscht derIdentitätsadministrator die Verzeichnis- und Umgebungsdefinitionen mithilfe der CAIdentityMinder-Management-Konsole.Gehen Sie wie folgt vor:1. Ö ffnen Sie die CA IdentityMinder-Management-Konsole.2. Klicken Sie auf "Umgebungen".3. Wählen Sie die erste Umgebung aus.4. Klicken Sie auf "Löschen".5. Wiederholen Sie diesen Prozess für jede Ihrer verbleibenden Umgebungen.Hinweis: Löschen Sie die Umgebungen, bevor Sie Ihre Verzeichnisse löschen, weildie Umgebungen sich auf die Verzeichnisse beziehen.6. Navigieren Sie zurück zum Abschnitt der Verzeichnisse.7. Wählen Sie alle aufgelisteten Verzeichnisse aus.8. Klicken Sie auf "Löschen".300 Konfigurationshandbuch

Aktivieren des SiteMinder-Richtlinienserver-RessourcenadaptersAktivieren desSiteMinder-Richtlinienserver-RessourcenadaptersDer Identitätsadministrator aktiviert denSiteMinder-Richtlinienserver-Ressourcenadapter. Der Zweck des Adapters ist, denSMSESSION-Cookie zu validieren. Nach der Validierung erstellt SiteMinder denBenutzerkontext.Gehen Sie wie folgt vor:1. Navigieren Sie zum Ordner "\policysever.rar\META-INF" in "iam_im.ear" auf demAnwendungsserver, der CA IdentityMinder ausführt.2. Ö ffnen Sie die Datei "ra.xml" in einem Editor.3. Suchen Sie nach "config-property" "Enabled", und ändern Sie dann den Wert von"config-property" zu "true", wie im folgenden Beispiel gezeigt:4. Suchen Sie die ConnectionURL-Eigenschaft, und geben Sie den Hostnamen desSiteMinder-Richtlinienservers an. Verwenden Sie einen vollqualifiziertenDomänennamen (FQDN).5. Suchen Sie die UserName-Eigenschaft, und geben Sie das für die Kommunikationmit SiteMinder zu verwendende Konto an. SiteMinder ist der Standardwert fürdieses Konto.6. Suchen Sie die AdminSecret-Eigenschaft. Geben Sie das verschlüsselte Kennwort an.Kopieren Sie das Kennwort aus der Datei "directory.xml", die Sie exportiert haben,und fügen Sie es in "ra.xml" ein. Wenn Sie nicht sicher sind, ob Sie eingebräuchliches Kennwort haben, verschlüsseln Sie Ihr Kennwort mithilfe des CAIdentityMinder-Kennwort-Tools.7. Fügen Sie das verschlüsselte Kennwort in die Datei "ra.xml" ein.8. Geben Sie den 4.x-Agentennamen an, den der Richtlinienadministrator währendder SiteMinder-Konfiguration erstellt hat.Kapitel 12: Integration von CA SiteMinder 301

Deaktivieren des systemeigenen CA IdentityMinder-Framework-Authentifizierungsfilter9. Geben Sie das verschlüsselte Kennwort an. Verwenden Sie das Kennwort-Tool, umdas Kennwort im Bedarfsfall zu verschlüsseln.10. Speichern Sie die Änderungen an der ra.xml-Datei.Der SiteMinder-Richtlinienserver-Ressourcenadapter wird aktiviert.Weitere Informationen:Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen Schlüssels (sieheSeite 363)Deaktivieren des systemeigenen CAIdentityMinder-Framework-AuthentifizierungsfilterMit dem SiteMinder-Adapter an Ort und Stelle wird derFramework-Authentifizierungsfilter nicht mehr benötigt. Der Identitätsadministratorkann den Filter deaktivieren.Gehen Sie wie folgt vor:1. Suchen und bearbeiten Sie die Datei "web.xml" im Ordner"\user_console.war\WEB-INF" unter "iam_im.ear".2. Suchen Sie "FrameworkAuthFilter" und ändern Sie den Wert von "Enableinit-param" zu "false".Wenn Sie CA IdentityMinder r12.5 SP 7 oder höher verwenden, überprüfen Sie,dass die Java Cryptographic Extension Unlimited Strength Jurisdiction Policy Files(JCE) in das Verzeichnis "\\\jre\lib\security" in der CAIdentityMinder-Umgebung heruntergeladen wurden. Diese Dateien ermöglichen CAIdentityMinder, mit SiteMinder Verbindung aufzunehmen.Wenn die JCE-Bibliotheken installiert werden, sehen Sie während des CAIdentityMinder-Anwendungsstarts die folgenden Meldungen:2012-07-06 11:23:56,079 WARN [ims.default] (main) * Startup Step 2 : Attemptingto start PolicyServerService2012-07-06 11:23:56,081 WARN [ims.default] (main) Unlimited Strength Java CryptoExtensions enabled: TRUEAndernfalls ist der Wert für den Eintrag "Unlimited Strength Java Crypto Extensionsenabled" "false". CA IdentityMinder kann dann keine Verbindung mit demRichtlinienserver aufnehmen.302 Konfigurationshandbuch

Neustarten des AnwendungsserversNeustarten des AnwendungsserversDer Neustart aktualisiert den Anwendungsserver mit den Änderungen. DerIdentitätsadministrator validiert, dass der Wechsel erfolgreich war und dass eineordnungsgemäße Verbindung zum SiteMinder-Richtlinienserver besteht.Gehen Sie wie folgt vor:1. Verwenden Sie den Services-Bereich, um CA IdentityMinder neu zu starten, wennIhr Anwendungsserver als Service ausgeführt wird.2. Ü berprüfen Sie "server.log", um die Verbindung zu validierenKonfigurieren einer Datenquelle für SiteMinderWenn Ihre CA IdentityMinder-Umgebung eine relationale Datenbank für seinenIdentitätsspeicher verwendet, ist der Identitätsadministrator erforderlich, um einenzusätzlichen Prozess auf dem SiteMinder-Richtlinienserver abzuschließen. SiteMindererfordert, dass eine lokale Datenquelle mit der Datenbank kommuniziert.Gehen Sie wie folgt vor:1. Ö ffnen Sie für Windows-Server die ODBC-Datenquellen-Administratorkonsole, diesich unter den Verwaltungstools befindet.2. Klicken Sie auf die Registerkarte "System-DSN".3. Klicken Sie auf "Hinzufügen", und wählen Sie den entsprechendenSiteMinder-Treiber für Ihre Datenbank aus.4. Geben Sie die benötigten Informationen an, um auf den Benutzerspeicher derrelationalen Datenbank zu verweisen.5. Testen Sie die Konnektivität, bevor Sie fortfahren.Kapitel 12: Integration von CA SiteMinder 303

Importieren der VerzeichnisdefinitionenImportieren der VerzeichnisdefinitionenUm das Importieren der Umgebungen vorzubereiten, importiert derIdentitätsadministrator die Verzeichnisse, auf die die Umgebungen verweisen. BeimImportieren der Verzeichnisdefinition in CA IdentityMinder werden außerdem dieVerzeichnisinformationen zum SiteMinder-Richtlinienspeicher hinzugefügt.Gehen Sie wie folgt vor:1. Stellen Sie sicher, dass CA IdentityMinder ausgeführt wird und mit SiteMinderverbunden ist.2. Navigieren Sie zur CA IdentityMinder-Management-Konsole.3. Klicken Sie auf "Directories" (Verzeichnisse) und dann auf "Create or Update fromXML" (Aus XML erstellen oder aktualisieren).4. Wählen Sie Ihre Verzeichniskonfigurationsdatei aus (directory.xml). Diese Datei istdiejenige, welche Sie in Exportieren der CA IdentityMinder-Verzeichnisse undUmgebungen (siehe Seite 299) exportiert haben.5. Klicken Sie auf "Weiter".6. Klicken Sie auf "Fertig stellen", und überprüfen Sie die Lastausgabe. VergewissernSie sich, dass das Verzeichnis in CA IdentityMinder und SiteMinder vorhanden ist.7. Wiederholen Sie diese Schritte für den Bereitstellungsspeicher und verbleibendeVerzeichnisse.8. Melden Sie sich bei der SiteMinder-Verwaltungsoberfläche an, um die Erstellungder Benutzerverzeichnisse zu validieren.304 Konfigurationshandbuch

Aktualisieren und Importieren von UmgebungsdefinitionenAktualisieren und Importieren von UmgebungsdefinitionenDer Identitätsadministrator importiert die aktualisierten Umgebungen zurück in CAIdentityMinder.Gehen Sie wie folgt vor:1. Im Gegensatz zu den Verzeichnisexporten ist der Umgebungsexport in Form einerZIP-Datei. Ziehen Sie eine Kopie der name.xml-Datei aus der ZIP-Datei.2. Kopieren Sie die name.xml-Datei. Fügen Sie am Ende des Elements"ImsEnvironment" einen Verweis auf den Schutzagenten (nicht der SM-4.x-Agent)ein, vor der schließenden Klammer />: agent="idmadmin"3. Speichern und fügen Sie die Datei zurück in die ZIP-Datei ein.4. Ö ffnen Sie die CA IdentityMinder-Management-Konsole, klicken Sie auf"Umgebungen" und dann auf "Import".5. Geben Sie den Namen der aktualisierten Umgebungs-ZIP-Datei ein.6. Klicken Sie auf "Fertig stellen", und überprüfen Sie die Importausgabe.7. Wiederholen Sie diesen Prozess für alle Ihre verbleibenden Umgebungen.8. Starten Sie den Anwendungsserver neu.Installieren des Web-Proxyserver-Plug-insBasieren auf der installierten Anwendung installiert der Identitätsadministrator einesder folgenden Plug-ins, die der Webserver verwendet, um Anfragen an denAnwendungsserver weiterzuleiten:■ WebSphere (siehe Seite 306)■ JBoss (siehe Seite 314)■ WebLogic (siehe Seite 318)Kapitel 12: Integration von CA SiteMinder 305

Installieren des Web-Proxyserver-Plug-insInstallieren des Proxy-Plug-ins auf WebSphereDer Webserver, auf dem Sie den Web-Agent installiert haben, leitet Anfragen an denAnwendungsserver weiter, der den CA IdentityMinder-Server hostet. Das vom Anbieterzur Verfügung gestellte Webserver-Proxy-Plug-in stellt diesen Service bereit.Verwenden Sie die Verfahren, die für Ihre Bereitstellung zutreffen:1. Konfigurieren Sie den IBM-HTTP-Server (siehe Seite 306) (Alle Webserver)2. Konfigurieren Sie das Proxy-Plug-in (siehe Seite 307) (Alle Webserver)3. Eine der folgenden:■ Abschließen der Konfiguration auf IIS (siehe Seite 311)■ Abschließen der Konfiguration auf iPlanet oder Apache (siehe Seite 313)Konfigurieren des IBM HTTP-ServersFür alle Webserver installieren Sie das Proxy-Plug-in und verwenden den Befehl"configurewebserver".Gehen Sie wie folgt vor:1. Installieren Sie das Proxy-Plug-in von der WebSphere-Startseite.2. Fügen Sie den Webserver zur WebSphere-Zelle hinzu, indem Sie den Befehl"configurewebserver1.bat" wie folgt ausführen:a. Bearbeiten Sie "websphere_home\Plugins\bin\configurewebserver1.bat/.sh" ineinem Texteditor.b. Fügen Sie nach "wsadmin.bat/.sh" einen Benutzernamen und ein Kennworthinzu, wie folgt:wsadmin.bat -user wsadmin -password Kennwort -fconfigureWebserverDefinition.jaclc. Führen Sie "configurewebserver1.bat/.sh" aus.Hinweis: Weitere Informationen zum Befehl "configurewebserver" finden Sie in derIBM WebSphere-Dokumentation.3. Fahren Sie mit dem Vorgang fort, um das Proxy-Plug-in zu konfigurieren (sieheSeite 307).306 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-insKonfigurieren des Proxy-Plug-insFür alle Webserver aktualisieren Sie das Plug-in mithilfe des GenPluginCfg-Befehls vonWebSphere:Gehen Sie wie folgt vor:1. Melden Sie sich bei dem System an, auf dem WebSphere installiert ist.2. Navigieren Sie von der Befehlszeile zu "websphere_home\bin", wobeiwebsphere_home das Installationsverzeichnis von WebSphere ist.Beispiel:■■Windows:C:\Programme\WebSphere\AppServer\profile\AppSrv01\binUNIX:/home_dir/WebSphere/AppServer/profile/AppSrv01/bin3. Führen Sie den Befehl "GenPluginCfg.bat" oder "GenPluginCfg.sh" aus.Wenn Sie diesen Befehl ausführen, wird die Datei "plugin-cfg.xml" an folgendemSpeicherort erstellt:websphere_home\AppServer\profiles\AppSrv01\config\cells4. Fahren Sie mit einem der folgenden Vorgänge fort:■ Abschließen der Konfiguration auf IIS (siehe Seite 311)■ Abschließen der Konfiguration auf iPlanet oder Apache (siehe Seite 313)Kapitel 12: Integration von CA SiteMinder 307

Installieren des Web-Proxyserver-Plug-insAbschließen der Konfiguration auf IIS (7.0)Bevor Sie diesen Vorgang starten, überprüfen Sie, dass Sie eine Version 6.1.0.9 oderhöher des Webserver-Plug-ins verwenden. Ältere Plug-in-Versionen unterstützen dasWindows Server 2008-Betriebssystem nicht.Gehen Sie wie folgt vor:1. Installieren Sie IIS-Version 7.0 mit den Verwaltungskompatibilitätskomponentenvon IIS-Version 6.0. Die Verwaltungskompatibilitätskomponenten von IIS-Version6.0 werden nicht standardmäßig installiert.2. Führen Sie die folgenden Schritte aus, um das Server-Manager-Fenster aufWindows Server 2008 aufzurufen:1. Klicken Sie auf "Start", "Verwaltung", "Server-Manager".2. Klicken Sie auf "Aktion", "Rollen hinzufügen", und klicken Sie dannauf "Weiter".3. Wählen Sie die Rolle für Webserver (IIS) auf der Seite "Serverrollen auswählen"aus, und klicken Sie dann auf "Weiter".4. Klicken Sie auf "Feature hinzufügen", "Weiter", wenn eine Aufforderung fürden Windows-Prozessaktivierungsdienst angezeigt wird.5. Klicken Sie auf der IIS-Einführungsseite auf "Weiter".3. Wenn das Fenster "Rollendienste" angezeigt wird, stellen Sie sicher, dass diefolgenden Optionen zusätzlich zu den Standardoptionen, die bereits ausgewähltsind, aktiviert werden.■■■Internet-Informationsdienste: VerwaltungstoolsIIS-Version 6.0 Management Kompatibilität: IIS-Version6.0-Management-Konsole, IIS-Version 6.0-Skriptingtools, IIS-Version6.0-WMI-Kompatibilität und IIS-MetabasiskompatibilitätAnwendungsentwicklung: ISAPI-Erweiterungen, ISAPI-Filter4. Klicken Sie auf "Weiter", um die ausgewählten Optionen zu aktivieren, und dann imnächsten Fenster auf "Installieren" , um die Installation auszuführen.5. Klicken Sie im Fenster mit dem Installationsergebnis auf "Schließen" , sobald dieInstallation abgeschlossen ist.6. Ö ffnen Sie die Eingabeaufforderung und wechseln Sie zu:\Programme\IBM\WebSphere\AppServer\profiles\Dmgr01\bin.7. Führen Sie diesen Befehl aus: GenPluginCfg.bat.Die plugin-cfg.xml-Datei wird an diesem Speicherort generiert:C:\Programme\IBM\WebSphere\AppServer\profiles\Dmgr01\config\cells.8. Erstellen Sie ein Verzeichnis unter c:\, zum Beispiel "c:\plugin".9. Kopieren Sie die Datei "plugin-cfg.xml" in das Verzeichnis "c:\plugin".308 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-ins10. Kopieren Sie "iisWASPlugin_http.dll" in das Verzeichnis "c:\plugin".11. Klicken Sie auf einem Windows Server 2008 Betriebssystem auf "Start","Programme", "Verwaltung", "Internet Information Services (IIS) Manager". DieseAktion startet die IIS-Anwendung und erstellt für die Website-Instanz ein neuesvirtuelles Verzeichnis. Diese Anweisungen setzen voraus, dass Sie dieStandardwebsite verwenden.12. Erweitern Sie die Struktur auf der linken Seite, bis Sie die Standardwebsite sehen.13. Klicken Sie mit der rechten Maustaste auf "Standardwebsite", "VirtuellesVerzeichnis hinzufügen", um das Verzeichnis mit einer Standardinstallation zuerstellen.14. Geben Sie "setPlugins" in das Feld "Alias" im Fenster "Alias für virtuellesVerzeichnis" des Assistenten zum Erstellen virtueller Verzeichnisse ein.15. Navigieren Sie zum Verzeichnis "c:\plugin" im Feld Physischer Pfad desAssistentenfensters "Verzeichnis des Websiteinhalts", und klicken Sie auf "OK".16. Klicken Sie auf die angezeigte Schaltfläche, um die Einstellungen zu testen. Wennder Einstellungstest fehlschlägt, können Sie die Berechtigungen des physischenVerzeichnisses ändern. Wählen Sie alternativ "Verbinden als" aus, und lassen Sie IISdie Verbindung als ein Windows-Benutzerkonto herstellen, das Berechtigungen fürdie Dateien in diesem physischen Pfad hat.17. Klicken Sie auf "OK", um das virtuelle Verzeichnis "setPlugins" zu Ihrer Websitehinzuzufügen.18. Wählen Sie das virtuelle Verzeichnis "setPlugins" aus, das Sie gerade in derNavigationsstruktur erstellt haben.19. Doppelklicken Sie auf "Handlerzuordnungen" und dann im Bereich "Aktionen"auf "Featureberechtigungen bearbeiten".20. Aktivieren Sie "Skripta" und "Ausführen", wenn diese Optionen nicht bereitsausgewählt sind.21. Klicken Sie auf "OK".22. Kehren Sie zum IIS-Manager-Fenster zurück, und blenden Sie den Websites-Ordnerin der Navigationsstruktur auf der linken Seite dieses Fensters ein.23. Wählen Sie in der Navigationsstruktur "Standardwebsite" aus.Kapitel 12: Integration von CA SiteMinder 309

Installieren des Web-Proxyserver-Plug-ins24. Führen Sie die folgenden Schritte im Eigenschaftsbereich der Standardwebsite aus,um den ISAPI-Filter hinzuzufügen:1. Doppelklicken Sie auf die Registerkarte "ISAPI-Filter".2. Klicken Sie, um das Dialogfeld "Filtereigenschaften hinzufügen/bearbeiten" zuöffnen.3. Geben Sie "iisWASPlugin" in das Feld "Filtername" ein.4. Klicken Sie auf "Durchsuchen", um die Plug-in-Datei imVerzeichnis "c:\plugin\iisWASPlugin_http.dll" auszuwählen.5. Klicken Sie auf "OK" , um das Dialogfeld "Filtereigenschaftenhinzufügen/bearbeiten" zu schließen.25. Wählen Sie den obersten Serverknoten in der Navigationsstruktur aus.26. Doppelklicken Sie im Bereich "Features" auf "ISAPI- und CGI-Einschränkungen".Um den anzugebenden Wert der Eigenschaft "ISAPI- oder CGI-Pfad" zu bestimmen,suchen und wählen Sie die gleiche Plug-in-Datei aus, die Sie im vorherigen Schrittausgewählt haben. Beispiel: "c:\plugin\iisWASPlugin_http.dll".27. Klicken Sie im Bereich "Aktionen" auf "Hinzufügen".28. Geben Sie "WASPlugin" im Feld "Beschreibung" ein, aktivieren Sie "Ausführung desErweiterungspfads zulassen", und klicken Sie dann auf "OK" , um dasDialogfeld "ISAPI- und CGI-Einschränkungen" zu schließen.29. Erstellen Sie die neue Datei "plugin-cfg.loc" im Verzeichnis "c:\plugin". Legen Sieden Wert in der Datei "plugin-cfg.loc" auf den Speicherort der Konfigurationsdateifest. Der Standardspeicherort ist "C:\plugin\plugin-cfg.xml".30. Starten Sie IIS-Version 7.0 und Ihr WebSphere-Anwendungsserverprofil neu.310 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-insAbschließen der Konfiguration auf IISNachdem Sie den IBM HTTP-Server und das Proxy-Plug-in konfiguriert haben,vergewissern Sie sich, dass "plugin-cfg.xml" des Proxys am richtigen Speicherort ist, undführen Sie die Schritte aus, um eine zusätzliche Plug-in-Datei zu konfigurieren.Gehen Sie wie folgt vor:1. Kopieren Sie "plugin-cfg.xml" folgendermaßen:a. Melden Sie sich beim System an, wo der Web-Agent installiert wird.b. Erstellen Sie einen Ordner ohne Leerzeichen auf dem Laufwerk "C:". Beispiel:"C:\plugin".c. Kopieren Sie die Datei "plugin-cfg.xml" in den Ordner "C:\plugin".2. Erstellen Sie eine Datei namens "plugin-cfg.loc" im Ordner "C:\plugin", und fügenSie die folgende Zeile in die Datei ein:C:\plugin\plugin-cfg.xml3. Laden Sie das Websphere-Plug-in-Installationsprogramm von www.ibm.com auf dasSystem herunter, wo WebSphere installiert ist.4. Wechseln Sie zum Speicherort des WebSphere-Plug-in-Installationsprogramms.5. Generieren Sie die Datei "iisWASPlugin_http.dll" durch die Verwendung diesesBefehls:install is:javahome "c:\IBM\WebSphere\AppServer\JavaBeantworten Sie auf die angezeigten Fragen basierend auf Ihrer Konfiguration.Wenn der Assistent beendet ist, wird die Datei "iisWASPlugin_http.dll" im Ordner"C:\IBM\WebSphere\Plugs\bin" gespeichert. Suchen Sie die Unterordner für 32-Bitoder 64-Bit.6. Kopieren Sie dieDatei "iisWASPlugin_http.dll" in den Ordner "C:\plugin" auf demSystem mit dem Web-Agenten.7. Erstellen Sie wie folgt ein virtuelles Verzeichnis:a. Ö ffnen Sie den IIS-Manager.b. Klicken Sie mit der rechten Maustaste auf die Standardwebsites.c. Klicken Sie auf "Neues virtuelles Verzeichnis" und geben Sie diese Werte an:Alias: sePlugins (es Groß- und Kleinschreibung beachtet wird)Pfad: c:\pluginBerechtigung: Lesen + Ausführen (ISAPI oder CGI)Kapitel 12: Integration von CA SiteMinder 311

Installieren des Web-Proxyserver-Plug-ins8. Fügen Sie wie folgt einen ISAPI-Filter hinzu:a. Klicken Sie mit der rechten Maustaste auf die Standardwebsite.b. Klicken Sie auf "Eigenschaften".c. Klicken Sie auf der Registerkarte "ISAPI-Filter" auf "Hinzufügen".d. Geben Sie diese Werte an:Filtername: sePluginsAusführbar: c:\plugin\ iisWASPlugin_http.dll9. Erstellen Sie wie folgt eine Webdiensterweiterung:a. Blenden Sie in IIS6 Manager den Computernamen ein.b. Erstellen Sie eine Webdiensterweiterung, und setzen Sie sie auf "Zulassen".Erweiterungsname: WASPluginPfad: C:\plugin\ iisWASPlugin_http.dllc. Klicken Sie mit der rechten Maustaste auf jede Webdiensterweiterung, um siezum Status "Zugelassen" zu ändern.10. Starten Sie den IIS Webserver neu.Stellen Sie im Master-WWW-Service sicher, dass das WebSphere-Plug-in (sePlugin)nach dem SiteMinder-Web-Agent-Plug-in angezeigt wird und dass dasWebSphere-Plug-in erfolgreich gestartet wurde.312 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-insAbschließen der Konfiguration auf iPlanet oder ApacheNachdem Sie den IBM HTTP-Server und das Proxy-Plug-in konfiguriert haben,vergewissern Sie sich, dass "plugin-cfg.xml" des Proxys am richtigen Speicherort ist undstarten den Webserver neu.Gehen Sie wie folgt vor:1. Kopieren Sie "plugin-cfg.xml" aus dem System, wo Sie das Proxy-Plug-in installierthaben, zum folgenden Speicherort:websphere_home\AppServer\profiles\server_name\config\cells\websphere_cell\nodes\webserver1_node\servers\webserver1\2. Stellen Sie sicher, dass das WebSphere-Plug-in (libns41_http.so) nach demSiteMinder-Web-Agent-Plug-in (NSAPIWebAgent.so) auf allen iPlanet-Webserverngeladen wird.3. Ü berprüfen Sie die Reihenfolge von Plug-ins in"iplanet_home/https-instance/config/magnus.conf" für IPlanet-6.0-Webserver.4. Kopieren Sie die folgenden Zeilen von"iplanet_home/https-instance/config/magnus.conf" nach"iplanet_home/https-instance/config/obj.conf" (IPlanet-5.x-Webserver):Init fn="load-modules" funcs="as_init,as_handler,as_term"shlib="/export/WebSphere/AppServer/bin/libns41_http.so"Init fn="as_init"bootstrap.properties="/export/WebSphere/AppServer/config/cells/plugincfg.xml"Fügen Sie nach AuthTrans fn="SiteMinderAgent" in der obj.conf-Datei denfolgenden Code hinzu:Service fn="as_handler"5. Stellen Sie sicher, dass das SiteMinder-Web-Agent-Plug-in (mod2_sm.so) aufApache-Webservern vor dem WebSphere-Plug-in (mod_ibm_app_server_http.so)geladen wird. Dieser Befehl befindet sich im Abschnitt Dynamic Shared Object(DSO) Support von apache_home/config/httpd.conf,6. Starten Sie den Webserver neu.Kapitel 12: Integration von CA SiteMinder 313

Installieren des Web-Proxyserver-Plug-insInstallieren Sie das Proxy-Plug-in für JBoss.Nachdem der SiteMinder-Web-Agent eine Anfrage für eine CAIdentityMinder-Ressource authentifiziert und genehmigt hat, leitet der Webserver dieAnfrage an den Anwendungsserver weiter, der den CA IdentityMinder-Server hostet.Um diese Anfragen weiterzuleiten, installieren und konfigurieren Sie einen JK-Connectorauf dem System, wo der SiteMinder-Web-Agent installiert ist. Weitere Informationenzum JK-Connector finden Sie auf der Jakarta Projektwebsite:http://community.jboss.org/wiki/usingmodjk12withjbossDie CA IdentityMinder-Verwaltungstools schließen Beispielkonfigurationsdateien ein,die Sie verwenden können, um den JK-Connector zu konfigurieren. Anweisungen findenSie in der readme.txt-Datei in dem in der folgenden Tabelle angegebenen Verzeichnis:PlattformIIS-Webserver auf einemWindows-SystemStandortC:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\samples\ConnectorConfiguration\windows\IIS_JBoss*Sun Java-System-Webserver aufeinem Solaris-SystemApache-Webserver auf einemSolaris-System/opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/samples/ConnectorConfiguration/solaris/Iplanet_JBoss*/opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/samples/ConnectorConfiguration/solaris/apache_JBoss*Installieren und Konfigurieren eines JBoss-Anwendungs-Plug-ins (IIS 7.0 und IIS7.5)Dieser Vorgang beschreibt die Konfiguration des JBoss-Apache-Plug-ins ab IIS 7.0Gehen Sie wie folgt vor:1. Stellen Sie ISAPI-Filter auf dem Dateisystem bereit und aktualisieren Sie sie.Stellen Sie den ISAPI-Ordner im Stammverzeichnis des Laufwerks C bereit.2. Bearbeiten Sie die Datei "jakarta.reg" im entpackten Ordner.Wenn Sie den ISAPI-Ordner im Stammverzeichnis von C:\ platziert haben, ändernSie diese Datei nicht. Wenn Sie sie in einem anderen Ordner abgelegt haben, gebenSie diesen Ordner in den Zeilen 9, 11 und 12 an.3. Speichern Sie Ihre Änderungen und doppelklicken Sie dann, um die Registrierung zuaktualisieren.4. Bearbeiten Sie die Datei "workers.properties" durch das Angeben des SpeicherortsIhres JBoss-Anwendungsservers. Der Port und Typ müssen nicht geändert werden.5. Installieren Sie IIS7 oder IIS7.5 unter Windows 2008.314 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-ins6. Ö ffnen Sie den Systemmanager und überprüfen Sie, dass IIS-ISAPI-Filter undISAPI-Erweiterung installiert sind.7. Starten Sie "inetmgr" im Fenster "Ausführen".8. Wählen Sie den Namen aus und doppelklicken Sie auf "ISAPI- undCGI-Einschränkungen".9. Klicken Sie auf der rechten Seite auf "Hinzufügen".10. Das Fenster "ISAPI- und CGI-Einschränkungen hinzufügen" wird angezeigt.11. Wählen Sie "isapi_redirect.dll" aus, und geben Sie als Beschreibung ISAPI ein.12. Aktivieren Sie das Kontrollkästchen "Ausführung des Erweiterungspfads zulassen".13. Klicken Sie im Fenster "ISAPI- und CGI-Einschränkungen hinzufügen" auf "OK".14. Erweitern Sie im Bereich "Verbindungen" den Knoten "Sites", wählen Sie dieStandardwebsite aus, und klicken Sie mit der rechten Maustaste auf "VirtuellesVerzeichnis hinzufügen".15. Geben Sie als Alias "jakarta" ein, und geben Sie den Speicherort der Datei"isap_redirect.dll" (c:\ajp) in den physischen Pfad ein.16. Klicken Sie auf die Schaltfläche "Einstellungen testen":– Wenn Authentifizierung und Autorisierung bestanden wurden, klicken Sie auf"OK".– Wenn die Autorisierung fehlschlägt, klicken Sie auf die Schaltfläche "Verbindenals".17. Wählen Sie "Bestimmter Benutzer" aus, und geben Sie den Admin-Benutzernamenund das Kennwort an.18. Klicken Sie erneut auf die Schaltfläche "Einstellungen testen". Diesmal funktioniertdie Autorisierung.19. Klicken Sie auf die Standardwebsite auf der linken Seite, und doppelklicken Sie aufden ISAPI-Filter klicken.20. Klicken Sie auf der rechten Seite auf "Hinzufügen".21. Geben Sie den Namen ein, und geben Sie den Speicherort der Datei"isapi_redirect.dll" an.22. Klicken Sie auf "OK".23. Blenden Sie die Standardwebsiet ein, und klicken Sie auf das virtuelleJakarta-Verzeichnis.24. Doppelklicken Sie auf "Handlerzuordnung".25. Wählen Sie "ISAPI-dll" aus, und klicken Sie auf "Featureberechtigungen bearbeiten".Kapitel 12: Integration von CA SiteMinder 315

Installieren des Web-Proxyserver-Plug-ins26. Ü berprüfen Sie, dass alle Berechtigungen (Lesen, Skripts, Ausführen) aktiviert sind.27. Klicken Sie auf "OK".Das JBoss-Plug-in wird konfiguriert.Installieren und Konfigurieren eines JBoss-Anwendungs-Plug-ins (IIS 6.0)Diese Integration setzt voraus, dass SiteMinder einen Benutzer authentifiziert undgenehmigt, bevor es CA IdentityMinder erreicht. Ein Benutzer muss einenSMSESSION-Cookie haben, bevor er CA IdentityMinder erreicht. Verwenden Sie ein voneinem SiteMinder-Web-Agenten geschütztes Anwendungs-Plug-in (Proxy-Umleitung).Durch diese Konfiguration wird ein Benutzer von SiteMinder authentifiziert und dann anCA IdentityMinder umgeleitet, nachdem ein SMSESSION-Cookie erstellt worden ist.Dieses Verfahren gilt für die Bereitstellung und Konfiguration des JBoss-Apache-Plug-insfür IIS 6.0:Gehen Sie wie folgt vor:1. Stellen Sie einen ISAPI-Filter auf dem Dateisystem bereit und aktualisieren Sie ihn.Stellen Sie den ISAPI-Ordner im Stammverzeichnis des Laufwerks C bereit.2. Bearbeiten Sie die Datei "jakarta.reg" im entpackten Ordner.Wenn Sie den ISAPI-Ordner im Stammverzeichnis von C:\ platziert haben, ändernSie diese Datei nicht. Wenn Sie sie in einem anderen Ordner ablegen, geben Siediesen Ordner in den Zeilen 9, 11 und 12 an.3. Speichern Sie Ihre Änderungen und doppelklicken Sie dann, um die Registrierung zuaktualisieren.4. Bearbeiten Sie die Datei "workers.properties" durch das Angeben des SpeicherortsIhres JBoss-Anwendungsservers. Der Port und Typ müssen nicht geändert werden.5. Stellen Sie den ISAPI-Filter auf IIS bereit.6. Ö ffnen Sie den Internetinformationsdienste-Manager über die Verwaltung.7. Blenden Sie die Ebenen ein, bis die Standardwebsite sichtbar ist. Klicken Sie mit derrechten Maustaste, und wählen Sie "Neu", "Virtuelles Verzeichnis" aus.8. Geben Sie jakarta als Alias ein.9. Verweisen Sie auf den Pfad, wo Sie das ISAPI-Plug-in installiert haben.10. Aktivieren Sie "Lesen", "Skripts ausführen" (wie ASP) und "Ausführen" (wieISAPI-Anwendungen oder CGI).11. Klicken Sie auf "Weiter", um fortzufahren und den Assistenten fertig zu stellen.12. Klicken Sie mit der rechten Maustaste auf "Standardwebsites", und wählen Sie"Eigenschaften" aus. Wählen Sie die Registerkarte "ISAPI-Filter" aus, und klicken Sieauf "Hinzufügen".316 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-ins13. Geben Sie jakarta für den Filternamen ein, und klicken Sie dann auf "Durchsuchen",um "isapi_redirect.dll" auszuwählen. Klicken Sie anschließend zweimal auf "OK".14. Aktivieren Sie für IIS 6.0 diesen Filter unter den Webdiensterweiterungen.15. Wählen Sie den Webdiensterweiterungs-Ordner aus. Klicken Sie auf den blauen Linklinks für "Neue Webdiensterweiterung hinzufügen".16. Geben Sie "Jakarta-Tomcat" als Name an. Klicken Sie auf "Hinzufügen", und suchenSie die gleiche dll wie oben. Klicken Sie auf "OK". Aktivieren Sie "Erweiterungsstatusauf 'Zugelassen' setzen", und klicken Sie dann auf "OK".17. Starten Sie den IIS Server neu.Mit dem jetzt eingerichteten Proxy können Sie über IIS auf CA IdentityMinder zugreifen.Hier sind beispielsweise die Links, um auf CA IdentityMinder zuzugreifen, vor und nachder Proxy-Konfiguration:Vorhttp://identitymgr.forwardinc.ca:8080/idmmangehttp://identitymgr.forwardinc.ca:8080/idmmangeNachhttp://smserver.forwardinc/idmmanage http://smserver.forwardinc/idmmanageHinweis: Ein Schrägstrich "/" kann am Ende dieser URL gebraucht werden, damitder Proxy arbeitet. Ü berprüfen Sie die Proxy-Protokolle, wenn Sie nicht zurManagement-Konsole weitergeleitet werden.Kapitel 12: Integration von CA SiteMinder 317

Installieren des Web-Proxyserver-Plug-insInstallieren des Proxy-Plug-ins auf WebLogicSobald der Web-Agent eine Anfrage für eine CA IdentityMinder-Ressourceauthentifiziert und genehmigt hat, leitet der Webserver die Anfrage an denAnwendungsserver weiter, der den CA IdentityMinder-Server hostet.1. Installieren Sie das WebLogic-Proxy-Plug-in für Ihren Webserver, wie in derWebLogic-Dokumentation beschrieben.Hinweis: Wenn Sie das Proxy-Plug-in als IIS-Benutzer installieren, konfigurieren Siedie Proxy-Weiterleitung nach Dateierweiterung und Pfad. Wenn Sie dieProxy-Weiterleitung nach Dateierweiterung konfigurieren, fügen Sie eineAnwendungszuordnung in der Registerkarte "Anwendungszuordnung" mit denfolgenden Eigenschaften hinzu:Ausführbare Datei: IISProxy.dllErweiterung: .wlforward2. Konfigurieren Sie das Proxy-Plug-in für CA IdentityMinder, wie in einem derfolgenden Abschnitte beschrieben:■ Proxy-Plug-in für IIS (siehe Seite 321)■ Proxy-Plug-in für iPlanet (siehe Seite 322)■ Proxy-Plug-in für Apache (siehe Seite 325)Konfigurieren des Proxy-Plug-Ins für IIS (7.x)Der folgende Vorgang durchläuft die Bereitstellung und Konfiguration desWebLogic-Proxy-Plug-ins für IIS 7.0 und höher.Hinweis: Diese Anweisungen sind für 32-Bit-Umgebungen. Die gleichen Anweisungengelten für 64-Bit-Umgebungen. Der Speicherort der .dll-Installationsdatei istunterschiedlich:■■%WL_HOME%server\plugin\win\32\%WL_HOME%server\plugin\win\64\Gehen Sie wie folgt vor:1. Installieren Sie den Web-Agent auf IIS7 und konfigurieren ihn.2. Erstellen Sie einen Ordner mit dem Namen "plugin" auf dem Laufwerk C.3. Kopieren Sie die folgenden Dateien zum Ordner "plugin":■■■lisforward.dllIisproxy.dlliisproxy.iniSie finden diese Dateien unter"\\lodimmaple.ca.com\RegressionHarness\thirdparty\weblogic\Weblogic_Proxy_Files_IIS7".318 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-ins4. Installieren Sie die Anwendungsentwicklungs- und Verwaltungstools-Rollendiensteauf IIS7.5. Ö ffnen Sie Inet Manager, und wählen Sie die Standardwebsite aus.6. Klicken Sie auf "Handlerzuordnungen".7. Doppelklicken Sie auf "Statische Datei", und ändern Sie den Anforderungspfad in*.*.8. Klicken Sie auf die Schaltfläche "Einschränkungen".9. Aktivieren Sie auf der Registerkarte "Zuordnung" die Option "Handler nur beifolgender Zuordnung aufrufen" "Datei oder Ordner".10. Klicken Sie im Dialogfeld "Handlerzuordnungen" in den Menüoptionen auf derrechten Seite auf "Skriptzuordnung hinzufügen". Geben Sie die folgenden Werteein:■ Anforderungspfad : *■■Ausführbare Datei: iisProxy.dllName: proxy11. Klicken Sie auf die Schaltfläche "Einschränkungen".12. Deaktivieren Sie die Option "Handler nur bei folgender Zuordnung aufrufen".13. Klicken Sie in der Eingabeaufforderung, ob diese IASPI-Erweiterung erlaubt werdensoll, auf "Ja".14. Klicken Sie auf den Stammknoten (Computername) der IIS-Manager-Struktur, undklicken Sie auf "ISAPI- und CGI-Einschränkungen".15. Klicken Sie im Bereich "Aktionen" auf "Hinzufügen", und geben Sie die folgendenWerte ein:■■■ISAPI- oder CGI-Pfad: C:\plugin\ iisproxy.dllBeschreibung: WeblogicAktivieren Sie das Kontrollkästchen "Ausführung des Erweiterungspfadszulassen".16. Klicken Sie auf den Stammknoten (Computername) der IIS-Manager-Struktur, undklicken Sie auf "ISAPI- und CGI-Einschränkungen". Wählen Sie die Option"Weblogic" aus, und klicken Sie auf der rechten Seite auf "Featureberechtigungenbearbeiten".17. Aktivieren Sie "Nicht angegebene ISAPI-Module zulassen" und "Nicht angegebeneCGI-Module zulassen".18. Machen Sie das Gleiche für Web-Agent.19. Doppelklicken Sie in der Ansicht " Features" der Standardwebsite auf"Handlerzuordnungen".Kapitel 12: Integration von CA SiteMinder 319

Installieren des Web-Proxyserver-Plug-ins20. Klicken Sie auf der Seite "Handlerzuordnungen", im Bereich "Aktionen" auf"Skriptzuordnung hinzufügen", und fügen Sie die folgenden Werte hinzu:■■■Anforderungspfad: .jspAusführbare Datei: iisproxy.dllName: JSP21. Klicken Sie auf "Einschränkungen".22. Aktivieren Sie auf der Registerkarte "Zuordnung" die Option "Handler nur beifolgender Zuordnung aufrufen" "Datei".23. Klicken Sie auf "OK".24. Klicken Sie auf "Skriptzuordnung hinzufügen", und fügen Sie die folgenden Wertehinzu:■■Anforderungspfad: .doAusführbare Datei: C:\plugin\iisproxy.dll25. Klicken Sie auf "Einschränkungen". Die Einstellungen sind die gleichen wie .jsp.26. Klicken Sie auf "OK".27. Klicken Sie auf "Skriptzuordnung hinzufügen", und geben Sie die folgenden Werteein:■■Anforderungspfad: .wlforwardAusführbare Datei: C:\plugin\iisproxy.dll28. Klicken Sie auf "Einschränkungen". Die Einstellungen sind die gleichen wie für .jsp.29. Klicken Sie auf "Standardwebsite", und doppelklicken Sie auf "ISAPI-Filter".30. Klicken Sie auf der rechten Seite auf "Sortierte Liste anzeigen".31. Platzieren Sie die ausführbare Datei des SiteMinder-Agent an zweiter Stelle in derListe. Nach diesem Eintrag befindet sich nur noch die ausführbare Weblogic-Datei inder Liste.Hinweis: Wenn die ausführbare Datei des SiteMinder-Agent nach der ausführbarenWeblogic-Datei angezeigt wird, dann verschieben Sie den SiteMinder-Agentenmithilfe des Pfeils "Nach oben".32. Klicken Sie auf "Anwendungspools", und ändern Sie den Standardanwendungspoolzu klassischem Modus.Das WebLogic-Plug-in ist konfiguriert.320 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-insKonfigurieren des IIS 6.0 Proxy-Plug-insDiese Vorgehensweise bezieht sich auf Konfigurationen des WebLogic-Proxy-Plug-ins fürIIS 6.0.x:Gehen Sie wie folgt vor:1. Erstellen Sie einen Ordner auf dem System, wo der Web-Agent installiert ist.Beispiel: "c:\weblogic_proxy".2. Melden Sie sich beim System an, wo der CA IdentityMinder-Server ausgeführt wird.3. Wechseln Sie zu diesem Ordner: Weblogic_Home\wlserver_11\server\plugin4. Kopieren Sie die folgenden Dateien zu dem in Schritt 1 erstelltenWebLogic-Proxy-Ordner.■■iisforward.dlliisproxy.dll5. Erstellen Sie eine Datei namens "iisproxy.ini" im gleichen Ordner, und geben Sie denfolgenden Inhalt ein:# This file contains initialization name/value pairs# for the IIS/WebLogic plug-in.WebLogicHost=host-nameWebLogicPort=7001ConnectTimeoutSecs=20ConnectRetrySecs=2WlForwardPath=/castylesr5.1.1,/iam,/imWLLogFile= c:\weblogic_proxy \proxy.logDebugConfigInfo=ONErsetzen Sie host-name durch den eigentlichen Hostnamen.6. Starten Sie IIS Manager.7. Erweitern Sie die Websites.8. Klicken Sie mit der rechten Maustaste auf die Standardwebsite.9. Wählen Sie "Eigenschaften" aus.10. Fügen Sie wie folgt einen Filter hinzu:a. Klicken Sie auf "host-name".b. Klicken Sie auf "Hinzufügen", und füllen Sie das Dialogfeld folgendermaßen aus:Filtername: WebLogicAusführbare Datei: Pfad von iisforward.dllKapitel 12: Integration von CA SiteMinder 321

Installieren des Web-Proxyserver-Plug-ins11. Geben Sie den Speicherort der iisproxy.dll-Datei wie folgt an:a. Klicken Sie auf "Basisverzeichnis".b. Klicken Sie auf "Konfiguration".c. Klicken Sie auf "Hinzufügen".d. Geben Sie den Pfad der iisproxy.dll-Datei ein.e. Geben Sie ".jsp" in das Feld "Erweiterung" ein.f. Deaktivieren Sie die Option "Verifizieren, dass Datei existiert".12. Wiederholen Sie Schritt 11 für die Erweiterungen ".do" und ".wlforward".13. Fügen Sie eine Webdiensterweiterung für "wlforward" hinzu (kleingeschrieben), dieauf den Speicherort von "iisforward.dll" verweist.Legen Sie den Erweiterungsstatus auf "Zugelassen" fest.14. Klicken Sie mit der rechten Maustaste auf jede Webdiensterweiterung, um sie zumStatus "Zugelassen" zu ändern.15. Starten Sie den IIS Webserver neu.Konfigurieren des Proxy-Plug-ins für iPlanetUm das Plug-in zu konfigurieren, ändern Sie die folgendeniPlanet-Konfigurationsdateien:■■magnus.confobj.confDie iPlanet-Konfigurationsdateien haben strikte Regeln über die Textposition. UmProbleme zu vermeiden, beachten Sie die folgenden Punkte:■■■Entfernen Sie zusätzliche führende und nachgestellte Leerzeichen. ZusätzlicheLeerzeichen können dazu führen, dass Ihr iPlanet-Server fehlschlägt.Wenn Sie mehr Zeichen eingeben müssen, als auf eine Zeile passen, geben Sie einenumgekehrten Schrägstrich (\) am Ende dieser Zeile ein und fahren auf der folgendenZeile mit der Eingabe fort. Der umgekehrte Schrägstrich wird direkt zwischen demEnde der ersten Zeile und dem Anfang der folgenden Zeile eingefügt. Wenn einLeerzeichen zwischen den Wörtern am Ende der ersten Zeile und dem Beginn derzweiten Zeile notwendig ist, geben Sie entweder am Ende der ersten Zeile (vor demumgekehrten Schrägstrich) oder am Anfang der zweiten Zeile ein Leerzeichen ein.Teilen Sie keine Attribute über mehreren Zeilen.322 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-insDie iPlanet-Konfigurationsdateien für Ihre iPlanet-Instanz befinden sich an folgendemSpeicherort:iplanet_home/https-instance_name/config/wobei iplanet_home das Stammverzeichnis der iPlanet-Installation und instance_nameIhre jeweilige Serverkonfiguration ist.Gehen Sie wie folgt vor:1. Kopieren Sie aus dem Verzeichnis "weblogic_home/server/lib" die Datei"libproxy.so", die Ihrer Version des iPlanet-Webservers auf dem Dateisystementspricht, wo Sie iPlanet installiert haben.2. Ändern Sie in einem Texteditor die iPlanet-Datei "magnus.conf".Um iPlanet anzuweisen, die Datei "libproxy.so" als ein iPlanet-Modul zu laden,fügen Sie die folgenden Zeilen am Anfang der magnus.conf-Datei hinzu:Init fn="load-modules" funcs="wl_proxy,wl_init"\shlib=Pfad in Dateisystem aus Schritt 1/libproxy.soInit fn="wl_init"Beispiel:Init fn="load-modules" funcs="wl_proxy,wl_init"\shlib=/usr/local/netscape/plugins/libproxy.soInit fn="wl_init"Das Funktionslademodul kennzeichnet die gemeinsam genutzte Bibliothek zumLaden, wenn iPlanet startet. Die Werte "wl_proxy" und "wl_init" identifizieren dieFunktionen, die das Plug-in ausführt.Kapitel 12: Integration von CA SiteMinder 323

Installieren des Web-Proxyserver-Plug-ins3. Ändern Sie in einem Texteditor die iPlanet-Datei "obj.conf" wie folgt:a. Nach der letzten Zeile, die mit dem folgenden Text anfängt:NameTrans fn=....Fügen Sie die folgende Service-Direktive zum Abschnitt für Objectname="default" hinzu:Service method="(GET|HEAD|POST|PUT)" type=text/jsp fn="wl-proxy"Hinweis: Sie können diese Direktive in einer Zeile nach den vorhandenService-Direktiven hinzufügen.b. Fügen Sie den folgenden Code am Ende der Datei hinzu:">Service fn="wl-proxy" WebLogicHost="hostname" WebLogicPort="portnumber"PathTrim="/weblogic"Service fn="wl-proxy" WebLogicHost="hostname" WebLogicPort="portnumber"PathTrim="/weblogic"wobei Hostname der Servername und die Domäne des Systems ist, wo SieWebLogic installiert haben, und portnumber der WebLogic-Port ist (Standard ist7001).Sie können mehr als einen Object-Eintrag haben.Beispiel:">Service fn="wl-proxy" WebLogicHost="MyServer.MyCompany.com"WebLogicPort="7001" PathTrim="/weblogic"Service fn="wl-proxy" WebLogicHost="MyServer.MyCompany.com"WebLogicPort="7001" PathTrim="/weblogic"4. Speichern Sie die iPlanet-Konfigurationsdatei.5. Starten Sie Ihre Webserver-Instanz neu.324 Konfigurationshandbuch

Installieren des Web-Proxyserver-Plug-insKonfigurieren des Proxy-Plug-ins für ApacheDas Konfigurieren des Apache-Proxy-Plug-ins bearbeiten Sie die Datei "http.conf".Gehen Sie wie folgt vor:1. Halten Sie den Apache-Webserver an, nachdem Sie einen Web-Agenten unterSolaris installiert haben, und kopieren Sie die Datei "mod_wl_20.so" vom folgendenSpeicherort:weblogic_home/server/lib/solarisinapache_home/modules2. Bearbeiten Sie die Datei "http.conf" (unter apache_home/conf), und nehmen Siedie folgenden Änderungen vor:a. Fügen Sie unter dem Lademodulabschnitt den folgenden Code hinzu:LoadModule weblogic_modulemodules/mod_wl_20.sob. Bearbeiten Sie den Servernamen mit dem Namen des Apache-Serversystems.c. Fügen Sie einen If-Block am Ende der Datei hinzu, wie folgt:WebLogicHost weblogic_server.comWebLogicPort 7001MatchExpression /iamMatchExpression /castylesr5.1.13. Speichern Sie die Datei "http.conf".4. Starten Sie den Apache-Webserver neu.Kapitel 12: Integration von CA SiteMinder 325

Zuordnen des SiteMinder-Agenten zu einer CA IdentityMinder-DomäneZuordnen des SiteMinder-Agenten zu einer CAIdentityMinder-DomäneDer Richtlinienadministrator führt diese Aufgabe aus, nachdem er die CAIdentityMinder-Aufgaben abgeschlossen hat. Während Sie Ihre Umgebungen in CAIdentityMinder laden, verweisen Sie auf den 4.X-Agenten. SiteMinder verwendet diesenAgenten, wenn er die Domäne bzw. den Bereich auf dem SiteMinder-Richtlinienservererstellt. Dieser Agent validiert SMSESSION-Cookies. Aktualisieren Sie die Domäne bzw.den Bereich, und verweisen Sie auf den voll funktionsfähigen Agenten, der sich auf demWebserver befindet und verwendet wird, um auf CA IdentityMinder zuzugreifen. DieserWebserver handelt als Zugriffspunkt für CA IdentityMinder und erstelltSMSESSION-Cookies.Gehen Sie wie folgt vor:1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an.2. Klicken Sie auf die Registerkarte "Richtlinien", "Domänen", Domäne erweitern.3. Klicken Sie auf "Domäne ändern".4. Wählen Sie die Domäne für Ihre Umgebung aus, und navigieren Sie zu derRegisterkarte "Realms" (Bereiche).5. Klicken Sie auf die Wiedergabeschaltfläche neben dem ersten aufgelisteten Bereich"XXX_ims_realm".6. Blättern Sie nach unten und klicken Sie auf die drei Auslassungspunkte neben demAgenten. Der Agent, den Sie in Ihrer Umgebungs-XML angegeben haben, wirdgeladen.7. Suchen Sie und wählen Sie den Agenten auf Ihrem Proxy aus.Hinweis: Wenn Sie keinen Proxy-Agenten (Webserver-Agent) haben, erstellen Sieeinen. Ü berprüfen Sie, dass Sie einen Webserver und einen Proxy an Ort und Stellevor CA IdentityMinder haben.8. Klicken Sie zweimal auf "OK" und wiederholen Sie dann diesen Prozess für denöffentlichen Bereich "XXX_pub_realm".9. Nachdem Sie beide Bereiche aktualisiert haben, klicken Sie auf "Senden".10. Warten Sie auf die Aktualisierung des Agenten, oder starten Sie den Webserverneu, wo sich der Proxy-Agent befindet.326 Konfigurationshandbuch

Konfigurieren des SiteMinder-Parameters "LogOffUrI"Konfigurieren des SiteMinder-Parameters "LogOffUrI"Nachdem Sie SiteMinder zur Umgebung hinzugefügt haben, bewirkt das Abmelden in CAIdentityMinder eigentlich nichts. Um diese Funktionalität wieder zu aktivieren,aktualisieren Sie das Agent-Konfigurationsobjekt (ACO) für den Agenten auf dem Proxy.Gehen Sie wie folgt vor:1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an. Klicken Sie auf dieRegisterkarte "Infrastruktur", erweitern Sie "Agent-Konfiguration", und klicken Siedann auf "Agent-Konfiguration ändern".2. Suchen Sie Ihr ACO. Suchen Sie den Parameter "#LogoffUri". Klicken Sie auf dieWiedergabeschaltfläche (nach rechts gerichteter Pfeil) links von diesem Parameter.3. Entfernen Sie das Rautenzeichen (#) aus dem Namen im Feld "Wert", und geben Sie"/idm/logout.jsp" ein.4. Klicken Sie auf "OK" und dann "Senden", um das Agent-Konfigurationsobjekt zuaktualisieren.Wenn der Agent das nächste Mal seine Konfiguration aus dem Richtlinienserverabruft, wird die neue Einstellung übertragen.FehlerbehebungDie folgenden Themen beschreiben häufige Fehler, die auftreten können. Wo eineBehebung möglich ist, wurde diese zusammen mit dem Fehler angegeben, um Ihnen beider Integration zu helfen.Kapitel 12: Integration von CA SiteMinder 327

FehlerbehebungFehlende Windows-DLLSymptom:Fehlende Windows-DLL (MSVCP71.dll)Wir haben festgestellt, dass JBoss nach der Aktivierung der SiteMinder-Verbindungeinen Java-Fehler über eine fehlende DLL auslöst (MSVCP71.dll).Hinweis: Dieser Fehler wird möglicherweise nicht angezeigt, wenn JBoss als Dienstausgeführt wird. Wenn möglich, testen Sie Ihre Konfiguration, ohne JBoss als Dienstauszuführen.Lösung:Gehen Sie wie folgt vor:1. Suchen Sie MSVCP71.dll auf dem SiteMinder-Richtlinienserver, wenn es unterWindows läuft.2. Kopieren Sie diese DLL (MSVCP71.dll) in den Ordner "\Windows\system32".3. Nachdem Sie diese Datei am richtigen Speicherort platziert haben, registrieren Siesie beim BS.4. Führen Sie von einem Befehlsfenster den regsvr32-Befehl aus. Solange die Dateigeladen ist, sollte alles in Ordnung sein.5. Starten Sie den Anwendungsserver neu.Falscher SiteMinder-Richtlinienserver-SpeicherortSymptom:Falscher SiteMinder-Richtlinienserver-Speicherort.Lösung:Wird ein falscher Speicherort angegeben, wird in "ra.xml" der Fehler "Cannot connect topolicy server: xxx" in der folgenden Abbildung dargestellt angezeigt:328 Konfigurationshandbuch

FehlerbehebungGehen Sie wie folgt vor:1. Ü berprüfen Sie den in "ra.xml" angegebenen Hostnamen.2. Geben Sie in der Eigenschaft "ConnectionURL" IhrenSiteMinder-Richtlinienserver-Hostnamen an. Verwenden Sie einen vollqualifizierten Namen (FQN).Falscher Admin-NameSymptom:Falscher Admin-NameLösung:Wird ein falscher Admin angegeben, wird in "ra.xml" der Fehler "Unknownadministrator" wie in der folgenden Abbildung dargestellt angezeigt:Kapitel 12: Integration von CA SiteMinder 329

FehlerbehebungGehen Sie wie folgt vor:1. Ü berprüfen Sie die Eigenschaft "UserName" in "ra.xml".2. Geben Sie in der Eigenschaft "UserName" das Konto an, das verwendet wird, ummit CA SiteMinder zu kommunizieren. Verwenden Sie zum Beispiel dasSiteMinder-Konto (Standardwert).Falscher geheimer Admin-SchlüsselSymptom:Falscher geheimer Admin-SchlüsselLösung:Wird ein falscher geheimer Admin-Schlüssel angegeben, wird in "ra.xml" der Fehler überungültige Anmeldeinformationen "Cannot connect to policy server: Invalid credentials"wie in der folgenden Abbildung dargestellt angezeigt:Gehen Sie wie folgt vor:1. Ü berprüfen Sie die Eigenschaft "AdminSecret" in "ra.xml".2. Geben Sie in der Eigenschaft "AdminSecret" das verschlüsselte Kennwort für den inder UserName-Eigenschaft verwendeten Benutzernamen an.330 Konfigurationshandbuch

FehlerbehebungWeitere Informationen:Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen Schlüssels (sieheSeite 363)Falscher AgentennameSymptom:Falscher AgentennameLösung:Wird ein falscher Agentenname angegeben, wird in "ra.xml" der Initialisierungsfehler"Cannot connect to policy server: Failed to init Agent API: -1" wie in der folgendenAbbildung dargestellt angezeigt:Gehen Sie wie folgt vor:1. Ü berprüfen Sie die Eigenschaft "AgentName" in "ra.xml".2. Geben Sie den 4.X-Agentennamen an, den Sie während Schritt 3 derSiteMinder-Konfiguration erstellt haben.Kapitel 12: Integration von CA SiteMinder 331

FehlerbehebungFalscher geheimer AgentenschlüsselSymptom:Falscher geheimer AgentenschlüsselLösung:Wird ein falscher geheimer Agentenschlüssel angegeben, wird in "ra.xml" derInitialisierungsfehler "Cannot connect to policy server: Failed to init Agent API: -1" miteinem vorangestellten Fehler des Verschlüsselungshandlers wie in der folgendenAbbildung dargestellt angezeigt:Gehen Sie wie folgt vor:1. Ü berprüfen Sie die Eigenschaft "AgentSecret" in "ra.xml".2. Geben Sie das verschlüsselte Kennwort an, das verwendet wurde, als Sie diesenAgenten erstellt haben.Weitere Informationen:Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen Schlüssels (sieheSeite 363)332 Konfigurationshandbuch

FehlerbehebungKein Benutzerkontext in CA IdentityMinderSymptom:Kein Benutzerkontext in CA IdentityMinderWenn ein Benutzer versucht, auf CA IdentityMinder ohne einen SMSESSION-Cookiezuzugreifen, kann CA IdentityMinder den Benutzer nicht authentifizieren. In diesem Fallkönnen Sie eine leere CA IdentityMinder-Benutzeroberfläche erwarten.Wenn Sie den Workflow für Ihre Umgebung aktiviert haben, sehen Sie etwa folgendenFehler.Kapitel 12: Integration von CA SiteMinder 333

FehlerbehebungLösung:Ein paar Dinge können dies verursachen, aber es ist üblicherweise eines des Folgenden:■■■Sie haben direkt auf CA IdentityMinder zugegriffen.Der SiteMinder-Agent am Proxy ist deaktiviert (das heißt, nichts ist geschützt – derSMSESSION-Cookie wird nicht erstellt).Die SiteMinder-Domäne für die CA IdentityMinder-Umgebung ist falschkonfiguriert.Die ersten beiden Ursachen sind ziemlich offensichtlich. Vergewissern Sie sich, dass Sieüber den Webserver mit dem voll funktionsfähigen, aktivierten Web-Agenten umleiten.Wenn Sie allerdings über den Webserver gehen und der Agent aktiviert ist, müssen Siedie Domäne ändern.Gehen Sie wie folgt vor:1. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an.2. Finden Sie Ihre CA IdentityMinder-Domäne, und klicken Sie durch die Schichten, umsie zu ändern. Klicken Sie auf die Registerkarte "Bereich" und dann auf den erstenBereich in der Liste.3. Der Standardspeicherort des Schrägstrichs ist unter dem Bereich. Löschen Sie ihn.4. Klicken Sie in die Regel unter diesem Bereich.Die standardmäßige Ressource für die Regel ist ein Sternchen "*".5. Fügen Sie den Schrägstrich "/" vor dem Sternchen hinzu.Sie haben den Schrägstrich vom Bereich zur Regel verschoben. Der Schutz ist dergleiche, aber SiteMinder behandelt es anders.Sie können sich erfolgreich bei CA IdentityMinder durch SiteMinder anmelden. Umden ordnungsgemäßen Schutz zu validieren, überprüfen Sie IhreSiteMinder-Agentenprotokolle.334 Konfigurationshandbuch

FehlerbehebungFehler beim Laden der UmgebungenSymptom:Wenn man eine Umgebung nach der Integration mit SiteMinder zurück in CAIdentityMinder importiert, wird ein Fehler bezüglich des Attributs"requireadminpassword" und des Elements "WebService" angezeigt.Hinweis: Dieses Problem kann auch auftreten, wenn SiteMinder nicht Teil derBereitstellung ist.Lösung:Dieser Fehler erlaubt eine teilweise Bereitstellung der Umgebung. Die teilweiseBereitstellung kann leere Elemente im CA IdentityMinder-Objektspeicher erstellen.Korrigieren Sie eine der Umgebungs-XMLs, und importieren Sie erneut.Gehen Sie wie folgt vor:1. Suchen Sie die archivierte ZIP-Datei, und überprüfen Sie sie.2. Erstellen Sie eine Kopie von "XXX_environment_settings.xml".3. Bearbeiten Sie diese Datei, und suchen Sie das "WebService"-Element.4. Löschen Sie den Tag "requireadminpassword="false".Hinweis: Entfernen Sie den Tag und den Wert. Entfernen Sie nicht nur den Wert.5. Speichern Sie Ihre Änderungen, und fügen Sie die Datei zurück in die ZIP-Datei ein.6. Importieren Sie die archivierte Umgebungs-ZIP-Datei erneut.Sie müssen die Umgebung nicht löschen, die aus dem fehlgeschlagenen Versucherstellt wurde. Beim erneuten Importieren behebt eine korrigierte Datei die Fehlerdes fehlgeschlagenen Versuchs.Kapitel 12: Integration von CA SiteMinder 335

FehlerbehebungCA IdentityMinder-Verzeichnis oder -Umgebung kann nicht erstellt werdenSymptom:Es kann kein CA IdentityMinder-Verzeichnis oder -Umgebung erstellt werden, wennSiteMinder-Integration aktiviert ist.Lösung:Dieses Problem kann von einer fehlenden Eingabe in der Registrierung verursachtwerden.Ü berprüfen Sie, dass die folgende Registrierungseinstellung auf demSiteMinder-Richtlinienserver-Rechner vorhanden ist:■■Solaris oder Linux:Ü berprüfen Sie, dass die folgende Eingabe in "sm.registry" vorhanden ist:ImsInstalled=8.0; REG_SZWindows:Ü berprüfen Sie, dass "ImsInstalled=8.0; REG_SZ" am folgenden Speicherortvorhanden ist:HKLM\SOFTWARE\Netegrity\SiteMinder\CurrentVersionHinweis: Wenn der Registrierungspfad "\Netegrity\SiteMinder\CurrentVersion"nicht vorhanden ist, erstellen Sie ihn manuell.Wenn Sie die Registrierung ändern, müssen Sie den Richtlinienserver neu starten, damitdie Änderungen in Kraft treten.Wichtig! Bevor Sie die Registrierung ändern, führen Sie eine vollständigeSystemsicherung aus.336 Konfigurationshandbuch

So konfigurieren Sie CA IdentityMinder-Agent-EinstellungenBenutzer kann sich nicht anmeldenSymptom:Ein neuer Benutzer kann sich nicht in einer Umgebung mit einem Klartextkennwortanmelden.Lösung:Ü berprüfen Sie, dass die folgende Datenklassifizierung nicht in dieKennwortattributdefinition in der Verzeichniskonfigurationsdatei (directory.xml)eingeschlossen ist:In Umgebungen, die die folgenden Komponenten einschließen, werden beiVerschlüsselung der Kennwörter auf Attributebene Benutzer daran gehindert, sichanzumelden:■■CA SiteMinder undEine relationale DatenbankSo konfigurieren Sie CA IdentityMinder-Agent-EinstellungenWenn CA IdentityMinder in SiteMinder integriert wird, verwendet CA IdentityMindereinen integrierten CA IdentityMinder-Agenten, um mit demSiteMinder-Richtlinienserver zu kommunizieren. Um die Leistung zu optimieren,konfigurieren Sie die folgenden Verbindungseinstellungen für den CAIdentityMinder-Agenten.1. Führen Sie einen der folgenden Schritte durch:■Wenn CA IdentityMinder auf einem WebLogic- oderWebSphere-Anwendungsserver ausgeführt wird, bearbeiten Sie denRessourcenadapter im Connector-Deskriptor "policyserver_rar" in der Konsoledes Anwendungsservers.■Wenn CA IdentityMinder auf einem JBoss-Anwendungsserver ausgeführt wird,öffnen Sie "policyserver-service.xml" in"\server\default\deploy\iam_im.ear\policyserver_rar\META-INF".2. Konfigurieren Sie die Einstellungen wie folgt:ConnectionMaxLegt die Höchstanzahl von Verbindungen zum Richtlinienserver fest, zumBeispiel 20.Kapitel 12: Integration von CA SiteMinder 337

Konfigurieren der SiteMinder-HochverfügbarkeitConnectionMinLegt die Mindestanzahl von Verbindungen zum Richtlinienserver fest, zumBeispiel 2.ConnectionStepLegt die Anzahl von zusätzlichen Verbindungen fest, die geöffnet werden, wennalle Agent-Verbindungen verwendet werden.ConnectionTimeoutGibt den Zeitbetrag in Sekunden an, die der Agent auf die Verbindung mitSiteMinder warten muss, bevor eine Zeitüberschreitung eintritt.3. Starten Sie den Anwendungsserver neu.Konfigurieren der SiteMinder-HochverfügbarkeitWenn Sie einen SiteMinder-Richtlinienserver-Cluster erstellt haben, können Sie einenAnwendungsserver-Cluster konfigurieren, um ihn für Lastenausgleich und Failover zuverwenden.Gehen Sie wie folgt vor:1. Bearbeiten Sie die Datei "ra.xml" an diesem Speicherort:WebSphere:WAS_PROFILE/config/cells/CELL_NAME/applications/iam_im.ear/deployments/IdentityMinder/policyserver_rar/META-INFJboss:jboss_home/server/all/deploy/iam_im.ear/policyserver_rar/META-INFWebLogic: wl_domain/applications/iam_im.ear/policyserver_rar/META-INF2. Ändern Sie diese Elemente, die in den nachfolgenden Abschnitten erklärt werden:■■■Verbindungseinstellungen für den RichtlinienserverDie Anzahl von RichtlinienservernDie Auswahl von Lastenausgleich oder Failover für den Cluster.3. Wiederholen Sie diese Schritte für jeden CA IdentityMinder-Server im Cluster.4. Starten Sie den Anwendungsserver neu, damit die Änderungen wirksam werden.Hinweis: Wenn Sie ein CA IdentityMinder-Verzeichnis oder eine Umgebung erstellenoder Verzeichnis- oder Umgebungseinstellungen ändern, legen Sie SiteMinder-Failoverund FailoverServers auf "false" fest. Andernfalls könnte das Verzeichnisobjekt zwarerstellt, aber nicht rechtzeitig zur Verwendung repliziert werden. Beispielsweiseerstellen Sie ein Verzeichnis auf Server 1. Dann erstellen Sie ein Attribut unterVerwendung der Objekt-ID von diesem Verzeichnis auf Server 2, aber das zweiteVerzeichnis ist noch nicht vorhanden. Es wird ein Fehler über nicht gefundene Objekteangezeigt.338 Konfigurationshandbuch

Konfigurieren der SiteMinder-HochverfügbarkeitÄndern der Richtlinienserver-VerbindungseinstellungenDie Richtlinienserver-Verbindungsinformationen müssen den Primärserver für dieProduktionsumgebung widerspiegeln. Diese Information besteht aus ConnectionURL,dem Benutzernamen und Kennwort für das SiteMinder-Admin-Konto, und dem Namensowie dem gemeinsamen geheimen Schlüssel für den Agenten.Im folgenden Beispiel werden die bearbeitbaren Werte in GROSSBUCHSTABENangezeigt.nfig-ConnectionURLjava.lang.StringDEVELOPMENT.SEVERCOMPANY.COM,VALUE,VALUE,VALUEUserNamejava.lang.StringSITEMINDER-ADMIN-NAMEAdminSecretjava.lang.StringENCRYPTED-PASSWORDAgentNamejava.lang.StringDEVELOPMENT-AGENT-NAMEAgentSecretjava.lang.StringENCRYPTED-AGENT-SECRETHinweis: Verwenden Sie für die Werte, die verschlüsselten Text erfordern, das CAIdentityMinder-Kennwort-Tool. Weitere Informationen finden Sie imKonfigurationshandbuch.Kapitel 12: Integration von CA SiteMinder 339

Konfigurieren der SiteMinder-HochverfügbarkeitHinzufügen von mehreren RichtlinienservernUm mehr Richtlinienserver zur CA IdentityMinder-Installationsinstanz hinzuzufügen,bearbeiten Sie den Eintrag "FailoverServers" in der Datei "ra.xml".Hinweis: Schließen Sie den primären Richtlinienserver und alle Failover-Server in denEintrag "FailoverServers" ein.Geben Sie für jeden Richtlinienserver eine IP-Adresse und Portnummern fürAuthentifizierung, Autorisierung und Kontodienste ein. Verwenden Sie ein Semikolon,um Eingaben voneinander zu trennen, wie hier angezeigt:FailoverServersjava.lang.String172.123.123.123,44441,44442,44443;172.123.123.124,33331,33332,33333Auswählen von Lastenausgleich oder FailoverDas Standardverhalten von CA IdentityMinder ist die Verwendung vonRound-Robin-Lastenausgleich mithilfe der Server, die durch "ConnectionURL" und"FailoverServers" identifiziert werden. Lastenausgleich tritt auf, wenn Sie "FailOver" auf"false" lassen.Um das Failover auszuwählen, setzen Sie "FailOver" auf "true":FailOverjava.lang.Stringtrue340 Konfigurationshandbuch

Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder-BereitstellungEntfernen von SiteMinder aus einer vorhandenen CAIdentityMinder-BereitstellungDieser Abschnitt enthält detaillierte Anweisungen für das Entfernen von CA SiteMinderaus einer vorhandenen CA IdentityMinder-Umgebung.Gehen Sie wie folgt vor:Wichtig! Kennwortverlaufsinformationen sind nach der Migration nicht mehr abrufbar.1. Halten Sie den Anwendungsserver an.2. Deaktivieren Sie den Richtlinienserver in der Datei "ra.xml", die sich in"\iam_im.ear\policyserver.rar\META-INF" befindet, indem Sie den Wert für"config-property" "Enabled" auf "false" festlegen.3. Bearbeiten Sie die Datei "web.xml" unter"\iam_im.ear\User_console.war/WEB-INF", und legen Sie die Eigenschaft"FrameworkAuthFilter" auf "Enabled = true" fest.Hinweis: Für WebSphere befindet sich die Datei "web.xml" unter"WebSphere_home/AppServer/profiles/Profile_name/config/cells/Cell_name/applications/iam_im.ear/deployments/IdentityMinder/user_console.war/WEB-INF".4. Starten Sie den Anwendungsserver.5. (Nur WebSphere) Aktualisieren Sie das policyServer-Objekt in derVerwaltungskonsole mit den gleichen Werten wie in der Datei "ra.xml".SiteMinder-VorgängeIn den folgenden Abschnitte wird erläutert, wie Sie SiteMinder-Funktionen,einschließlich Richtliniendomänen und Authentifizierungsschemen ändern, um CAIdentityMinder zu unterstützen:Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefiniertenAuthentifizierungsschemas (siehe Seite 342)Ändert die Methode, die CA IdentityMinder verwendet, um Anmeldeinformationenfür Benutzer zu erfassen, die versuchen, auf eine CA IdentityMinder-Umgebungzuzugreifen.Konfigurieren von Zugriffsrollen (siehe Seite 345)Legt den Zugriff auf Funktionen in einer Anwendung fest.Konfigurieren der LogOff-URL (siehe Seite 360)Verhindert unbefugten Zugriff auf eine CA IdentityMinder-Umgebung durch dasErzwingen einer vollständigen Abmeldung.Kapitel 12: Integration von CA SiteMinder 341

SiteMinder-VorgängeAktualisieren eines Alias in SiteMinder-Bereichen (siehe Seite 362)Aktualisiert die Bereiche, die eine CA IdentityMinder-Umgebung schützen, wenn Sieden Aliasnamen der Umgebung ändern.SiteMinder-Kennwörter (siehe Seite 363)Lässt Sie das Kennwort für das Administratorkonto, das CA IdentityMinderverwendet, um mit SiteMinder zu kommunizieren, und den gemeinsamengeheimen Schlüssel für den SiteMinder-Agenten ändern, der eine CAIdentityMinder-Umgebung schützt.Konfigurieren der CA IdentityMinder-Agent-Einstellungen (siehe Seite 337)Optimiert die Leistung des CA IdentityMinder-Agenten, der mit demSiteMinder-Richtlinienserver kommuniziert.Verwenden von unterschiedlichen Verzeichnissen für Authentifizierung undAutorisierung (siehe Seite 365)Befähigt Administratoren, die Profile in einem Verzeichnis haben, Benutzer ineinem anderen Verzeichnis zu verwalten.Verbessern der Leistung von LDAP-Verzeichnisvorgängen (siehe Seite 367)Erhöht den Durchsatz von CA IdentityMinder-Anfragen an den Benutzerspeicher,indem man SiteMinder konfiguriert, um mehrere Verbindungen für das gleicheVerzeichnis zu öffnen.Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefiniertenAuthentifizierungsschemasSiteMinder verwendet ein Authentifizierungsschema, umBenutzeranmeldeinformationen zu erfassen und die Identität eines Benutzers bei derAnmeldung zu bestimmen. Sobald ein Benutzer identifiziert ist, generiert CAIdentityMinder eine persönliche Benutzerkonsole, die auf den Berechtigungen desBenutzers basiert.Sie können ein SiteMinder-Authentifizierungsschema implementieren, um eine CAIdentityMinder-Umgebung zu schützen.Zum Beispiel können Sie ein Authentifizierungsschema für HTML-Formulareimplementieren, das Anmeldeinformationen in einem HTML-Formular erfasst. DasHTML-Formulars lässt Sie eine Anmeldungsseite erstellen, die Markenelemente wie z. B.ein Unternehmenslogo einschließen kann und auf die Seiten für Selbstregistrierung undvergessenene Kennwörter verlinkt ist.342 Konfigurationshandbuch

SiteMinder-VorgängeHinweis: Weitere Informationen zu Authentifizierungsschemen finden Sie imKonfigurationshandbuch für CA SiteMinder-Richtlinienserver.Gehen Sie wie folgt vor:1. Melden Sie sich bei einer der folgenden Schnittstellen an:■■Für CA SiteMinder Web Access Manager r12 oder höher melden Sie sich bei derVerwaltungsoberfläche an.Für CA eTrust SiteMinder 6.0 SP5 melden Sie sich bei derRichtlinienserver-Benutzeroberfläche an.Hinweis: Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie inder Dokumentation der SiteMinder-Version, die Sie verwenden.2. Erstellen Sie ein Authentifizierungsschema, wie im Konfigurationshandbuch für CASiteMinder-Richtlinienserver beschrieben.3. Ändern Sie den Bereich, der die entsprechende CA IdentityMinder-Umgebungschützt, um das Authentifizierungsschema zu verwenden, das Sie in Schritt 1 erstellthaben.Der Bereichsname hat das folgende Format:Identity Manager-Umgebung_ims_realmHinweis: Wenn Sie Support für öffentliche Aufgaben konfiguriert haben, sehen Sieeinen zusätzlichen Bereich, Identity Manager-Umgebung_pub_realm. DieserBereich verwendet ein anonymes Authentifizierungsschema, um unbekanntenBenutzern zu ermöglichen, die Funktionen für Selbstregistrierung und vergesseneKennwörter zu verwenden, ohne Anmeldeinformationen anzugeben. Ändern Sie dieAuthentifizierungsschemen für diese Bereiche nicht.Kapitel 12: Integration von CA SiteMinder 343

SiteMinder-VorgängeErsetzen der Standardauthentifizierung durch ein CA IdentityMinder-FormularDie Standardauthentifizierungsmethode der CA IdentityMinder-Domäne ist "Basis". Umein bisschen mehr Komfort für die an eigenständige oder integrierte Formularegewöhnten Kunden zu demonstrieren, schließen wir ein SiteMinder-Anmeldungs-FCCein, das dem CA IdentityMinder-Formular ähnelt.Gehen Sie wie folgt vor:1. Finden Sie einen Webserver in Ihrer Umgebung, der das Formular hosten kann.Dieser Server muss keinen SiteMinder-Agent installiert haben.2. Entpacken Sie den Inhalt von "idmlogin.zip" in Ihrem Webstammverzeichnis.3. Das Formular ist ohne Bearbeitungen funktionsfähig, außer den Links fürRegistrierung und Kennwort zurücksetzen.4. Bearbeiten Sie "login.fcc" durch Aktualisierung der Zeilen 153 und 161 mit IhremServer-FQN und Aufgaben-Tags.5. Melden Sie sich auf der SiteMinder-Verwaltungsoberfläche an. Klicken Sie auf dieRegisterkarte "Infrastruktur", "Authentifizierung", blenden Sie dasAuthentifizierungsschema ein und klicken Sie dann auf "Authentifizierungsschemaerstellen".6. Erstellen Sie ein neues Objekt.7. Geben Sie einen Namen für das neue Formular ein. Verwenden Sie als Typ dieHTML-Formularvorlage. Geben Sie den Webserver an, der das Formular hostet,sowie den richtigen Port.8. Verweisen Sie auf das Ziel "/idmlogin/login.fcc". Klicken Sie dann auf "Senden".9. Aktualisieren Sie das Authentifizierungsschema für den Bereich.10. Navigieren Sie zu "XXX_ims_realm", und wählen Sie Ihr neuesAuthentifizierungsschema aus.Importieren von Datendefinitionen in den RichtlinienspeicherSie können den Zugriff eines Benutzers auf Anwendungsfunktionen mithilfe vonSiteMinder-Richtlinien steuern. Die Richtlinienserver-Installation schließt dieerforderlichen Datendefinitionen ein, um diese Steuerung zu ermöglichen. ImportierenSie die Datei "IdmSmObjects.xdd" von diesem Speicherort:siteminder_home\xps\ddsiteminder_home ist der Richtlinienserver-Installationspfad.344 Konfigurationshandbuch

SiteMinder-VorgängePlanen von ZugriffsrollenUm den Zugriff auf Anwendungen zu steuern, erstellen Sie Zugriffsrollen und Aufgaben.Eine Zugriffsaufgabe gibt den Zugriff auf eine Funktion in einer Anwendung an. EineZugriffsrolle enthält eine oder mehrere Zugriffsaufgaben für eine oder mehrereAnwendungen. Wenn eine Zugriffsrolle einem Benutzer zugewiesen worden ist, kannder Benutzer die Funktionen verwenden, die in dieser Rolle vorhanden sind.Zugriffsrollen für Anwendungszugriff enthält weitere Details zum Zweck vonZugriffsrollen.Zugriffsrollen erfordern die Konfiguration in Identity Manager und SiteMinder. ZweiAdministratoren müssen beteiligt werden:■■Identity Manager-Administrator – Muss fähig sein, Zugriffsrollen und Aufgaben inIdentity Manager zu erstellen. Die Standardrollen "System-Manager" und"Zugriffsrollen-Manager" schließen diese Aufgaben ein.SiteMinder-Administrator – Muss einen Systemgeltungsbereich haben und SystemundDomänenobjekte verwalten können. Weitere Informationen dazu finden Sieunter CA eTrust SiteMinder-Richtliniendesign.Hinweis: Die Richtliniendesign-Benutzeroberfläche verwendet den Begriff IdentityManager-Umgebung, um sich auf das zu beziehen, was jetzt eine IdentityManager-Umgebung genannt wird. Die mit diesem Produkt gelieferteSiteMinder-Dokumentation bezeichnet dies auch als Identity Manager. Ab r8.1 ist derneue Produktname Identity Manager.Der folgende Vorgang umfasst die Schritte zum Erstellen einer Zugriffsrolle:1. Ein Identity Manager-Administrator mit der Rolle für Zugriffsrollen-Manager:a. Erstellt Zugriffsaufgaben.b. Erstellt eine Zugriffsrolle.c. Teilt dem SiteMinder-Administrator Rollen- und Aufgabeninformationen mit.Kapitel 12: Integration von CA SiteMinder 345

SiteMinder-Vorgänge2. Ein SiteMinder-Administrator erstellt ein rollenbasierte Zugriffssteuerungsrichtliniewie folgt:a. Zuordnen eines Benutzerverzeichnisses, das mit einer oder mehreren IdentityManager-Umgebungen verknüpft ist, zu einer Richtliniendomäne.b. Zuordnen von einer oder mehreren Identity Manager-Umgebungen zurRichtliniendomäne in Schritt 1.c. Erstellen von Bereichen und Regeln in der Richtliniendomäne (wenn sie nichtbereits vorhanden sind). Die Bereiche und Regeln sollten den Ressourcenentsprechen, auf welche die Zugriffsrollen Zugriff erteilen werden.d. Erstellen von Richtlinien und Zuordnen zu Rollen in der IdentityManager-Umgebung.e. (Optional) Angabe von Antworten, die den geschützten RessourcenBerechtigungsinformationen liefern.Anweisungen zu den vorangehenden Schritten finden Sie unter CA eTrustSiteMinder-Richtliniendesign.Aktivieren von Zugriffsrollen zur Verwendung mit SiteMinderUm Zugriffsrollen mit CA SiteMinder zu verwenden, spiegelt CA IdentityMinder alleObjekte im CA IdentityMinder-Objektspeicher, die sich auf diese Zugriffsrollen beziehen,im SiteMinder-Richtlinienspeicher. Um dies zu ermöglichen, konfigurieren Sie eineEigenschaft in der CA IdentityMinder-Management-Konsole.So aktivieren Sie Zugriffsrollen für die Verwendung mit SiteMinder1. Ö ffnen Sie die Managementkonsole.2. Wählen Sie "Umgebung", "Ihre Umgebung", "Erweiterte Einstellungen","Verschiedenes".3. Fügen Sie eine neue Eigenschaft durch das Angeben der folgenden Informationenhinzu:■■Geben Sie im Feld "Eigenschaft" Folgendes ein:EnableSMRBACGeben Sie im Feld "Wert" Folgendes ein:true346 Konfigurationshandbuch

SiteMinder-Vorgänge4. Klicken Sie auf "Hinzufügen". Klicken Sie dann auf "Speichern".Eine Meldung, die anzeigt, dass die Umgebung neu gestartet werden muss, wirdangezeigt.5. Starten Sie die Umgebung neu.CA IdentityMinder unterstützt jetzt Zugriffsrollen und Aufgaben für die Verwendungmit CA SiteMinder.Sobald Sie Zugriffsrollen für die Verwendung mit CA SiteMinder aktivieren, beachten SieFolgendes:■■Wenn Sie Zugriffsrollen in CA Identity Manager r8x verwendet haben, müssen Sieeinen zusätzlichen Migrationsschritt ausführen, um diese Zugriffsrollen in deraktuellen Version von CA IdentityMinder zu verwalten. Weitere Informationenfinden Sie im Aktualisierungshandbuch.Um die Unterstützung von Zugriffsrollen in SiteMinder zu deaktivieren, löschen Siedie CA IdentityMinder-Zugriffsrolle und Aufgabenobjekte aus demSiteMinder-Richtlinienspeicher. Entfernen Sie dann die Eigenschaft"EnableSMRBAC" aus der Liste mit verschiedenen Eigenschaften, und starten Sie dieUmgebung neu.Hinzufügen einer Zugriffsaufgabe zur Admin-RolleStandardmäßig werden die Zugriffsaufgaben nicht auf der Registerkarte "Rollen undAufgaben" angezeigt, Sie müssen die Zugriffsaufgaben zur Admin-Rolle desangemeldeten Benutzers hinzufügen.Gehen Sie wie folgt vor:1. Melden Sie sich bei einem CA IdentityMinder-Konto mit einer Rolle an, die eineAufgabe für das Erstellen von Zugriffsrollen einschließt.2. Klicken Sie auf "Rollen und Aufgaben", "Admin-Rolle ändern".3. Wählen Sie die Admin-Rolle des angemeldeten Benutzers aus.4. Klicken Sie auf die Registerkarte "Aufgaben", Feld "Nach Kategorie filtern", undwählen Sie "Rollen und Aufgaben" aus der Dropdown-Liste aus.5. Wählen Sie in der Dropdown-Liste "Aufgabe hinzufügen" die Option"Zugriffsaufgabe erstellen" aus.6. Klicken Sie auf "Senden".Kapitel 12: Integration von CA SiteMinder 347

SiteMinder-VorgängeErstellen von ZugriffsaufgabenEine Zugriffsaufgabe ist eine einzelne Aktion, die ein Benutzer in einerUnternehmensanwendung ausführen kann, wie beispielsweise eine Bestellung in einerFinanzanwendung zu generieren. Benutzer können diese Aktion ausführen, wenn ihneneine Zugriffsrolle zugewiesen wird, die die Zugriffsaufgabe einschließt.Wichtig! Um eine Zugriffsaufgabe zu erstellen, müssen Sie die Zugriffsaufgaben (sieheSeite 347) zur Admin-Rolle des angemeldeten Benutzers hinzufügen.Gehen Sie wie folgt vor:1. Wählen Sie "Rollen und Aufgaben", "Zugriffsaufgaben", "Zugriffsaufgabe erstellen"aus.2. Wählen Sie eine der folgenden Optionen aus:■■Zugriffsaufgabe erstellenKopie einer Zugriffsaufgabe erstellen3. Füllen Sie diese Felder aus:NameTagEin eindeutiger Name, den Sie der Aufgabe zuweisen können, wie "Auftraggenerieren".Eindeutiger Tag für die Aufgabe. Der Tag muss mit einem Buchstaben oderUnterstrich beginnen und darf nur Buchstaben, Ziffern oder Unterstricheenthalten.BeschreibungEin optionaler Hinweis auf den Zweck der Aufgabe.Anwendungs-IDEin Bezeichner für eine Anwendung, beispielsweise den Anwendungsnamen,der mit der Aufgabe verknüpft ist. Die Anwendungs-ID kann Leerzeichen odernicht-alphanumerische Zeichen enthalten.Notieren Sie sich diese ID; Sie benötigen sie, wenn Sie die Rolle in SiteMinderaktivieren.4. Um die Zugriffsaufgabe abzuschließen, klicken Sie auf "Senden".348 Konfigurationshandbuch

SiteMinder-VorgängeSo erstellen Sie eine ZugriffsrolleEine Zugriffsrolle enthält Zugriffsaufgaben, die den Zugriff auf Funktionen in einerAnwendung festlegen. Zum Beispiel kann eine Rolle Aufgaben enthalten, dieRollenmitgliedern ermöglichen, eine Bestellung in eine Einkaufsanwendung einzugebenund Mengen in einer Inventarerfassungsanwendung zu aktualisieren.Führen Sie folgende Schritte aus, um eine Zugriffsrolle zu erstellen:1. Beginnen Sie mit der Erstellung einer Zugriffsrolle. (siehe Seite 349)2. Definieren Sie grundlegende Eigenschaften für die Zugriffsrolle in der Registerkarte"Profil". (siehe Seite 349)3. Wählen Sie Zugriffsaufgaben für die Rolle aus. (siehe Seite 350)4. Definieren Sie Mitgliederrichtlinien für die Rolle. (siehe Seite 351)5. Definieren Sie Admin-Richtlinien für die Rolle. (siehe Seite 352)6. Definieren Sie Eigentümerregeln für die Rolle. (siehe Seite 353)Beginnen Sie mit der Erstellung einer ZugriffsrolleDefinieren des Profils für Zugriffsrollen1. Melden Sie sich bei einem Identity Manager-Konto mit einer Rolle an, die eineAufgabe zum Erstellen von Zugriffsrollen enthält.2. Klicken Sie auf die Option "Zugriffsrollen" und dann auf die Option "Zugriffsrolleerstellen".Wählen Sie die Option aus, um eine neue Rolle oder eine Kopie einer Rolle zuerstellen. Wenn Sie die Option "Kopieren" auswählen, suchen Sie die Rolle.3. Fahren Sie mit dem nächsten Abschnitt fort,Definieren des Profils für Zugriffsrollen.So definieren Sie das Profil für Zugriffsrollen:1. Geben Sie einen Namen und eine Beschreibung ein, und vervollständigen Sie allebenutzerdefinierten Attribute, die für die Rolle definiert sind.Hinweis: Sie können auf dem Register "Profil" benutzerdefinierte Attributeangeben, die weitere Informationen zu Zugriffsrollen enthalten. Sie können diesezusätzlichen Informationen verwenden, um Rollensuchvorgänge in Umgebungen zuerleichtern, die eine große Anzahl von Rollen enthalten.2. Wählen Sie die Option "Aktiviert" aus, wenn Sie die Rolle sofort nach der Erstellungfür die Verwendung freigeben möchten.3. Fahren Sie mit dem nächsten Abschnitt, Definieren von Mitgliederrichtlinien fürZugriffsrollen, fort.Kapitel 12: Integration von CA SiteMinder 349

SiteMinder-VorgängeAuswählen von Zugriffsaufgaben für die RolleGehen Sie auf der Registerkarte "Aufgaben" wie folgt vor:1. Wählen Sie die in diese Rolle einzuschließenden Aufgaben aus. Wählen Sie zuerstdie Anwendungen aus, dann die Aufgabe. Sie können Aufgaben aus verschiedenenAnwendungen einbeziehen:Hinweis: Wenn eine andere Rolle die Aufgaben hat, die Sie benötigen, klicken Sieauf "Aufgaben aus einer anderen Rolle kopieren". Sie können die angezeigte Listebearbeiten.Beim Erstellen einer Rolle oder Aufgabe sehen Sie Symbole zum Hinzufügen,Bearbeiten und Entfernen von Elementen:Weitergehen oder das aktuelle Element auswählen, um es anzuzeigen oder zubearbeiten.Wenn JavaScript deaktiviert ist, klicken Sie auf die Schaltfläche "Weiter", umaus einer Dropdown-Liste auszuwählen.Zurückgehen oder eine frühere Auswahl rückgängig machen.Ein Element einfügen, z. B. eine Aufgabe oder Regel.Die aktuelle Aufgabe oder (bei Regeln) den folgenden Ausdruck löschen.Aktuelles Element in der Liste nach oben verschieben.Aktuelles Element in der Liste nach unten verschieben.2. Fahren Sie mit dem nächsten Abschnitt, Definieren von Admin-Richtlinien fürZugriffsrollen, fort.350 Konfigurationshandbuch

SiteMinder-VorgängeDefinieren von Mitgliederrichtlinien für ZugriffsrollenEine Mitgliederrichtlinie definiert eine Mitgliederregel und Bereichsregeln für eine Rolle.Sie können verschiedene Mitgliederrichtlinien für eine Rolle definieren. Für jedeRichtlinie haben Benutzer, die der Bedingung in der Mitgliederregel entsprechen, denentsprechenden Bereichsumfang bei der Verwendung der Rolle, der in der Richtliniedefiniert ist.Gehen Sie wie folgt vor:1. Wählen Sie die Registerkarte "Mitglieder" aus.2. Klicken Sie auf "Hinzufügen", um Mitgliederrichtlinien zu definieren.3. (Optional) Definieren Sie auf der Seite "Mitgliederrichtlinie" optional eineMitgliederregel für denjenigen, der diese Rolle verwenden können muss.Beim Definieren einer Mitgliederregel wird diese Rolle automatisch Benutzernzugeordnet, die mit den Kriterien in der Mitgliederrichtlinie übereinstimmen.Hinweis: Definieren Sie Mitgliederrichtlinien, die nur Verzeichnisattributeverwenden, zum Beispiel: title=Manager. Wenn Sie Mitgliederrichtlinien definieren,die auf Objekte verweisen, die nicht im Benutzerverzeichnis gespeichert sind, wieAdmin-Rollen, kann SiteMinder den Verweis nicht auflösen.4. Ü berprüfen Sie, dass die Mitgliederrichtlinie auf der Registerkarte "Mitglieder"angezeigt wird.Um eine Richtlinie zu bearbeiten, klicken Sie links auf das Pfeilsymbol. Um sie zuentfernen, klicken Sie auf das Minuszeichen.5. Aktivieren Sie auf der Registerkarte "Mitglieder" das Kontrollkästchen"Administratoren können Mitglieder dieser Rolle hinzufügen oder aus ihrentfernen".Sobald Sie diese Funktion aktivieren, definieren Sie die Aktion zum Hinzufügen undAktion zum Entfernen. Diese Aktionen definieren, was geschieht, wenn ein Benutzerals ein Rollenmitglied hinzugefügt oder entfernt wird.Kapitel 12: Integration von CA SiteMinder 351

SiteMinder-VorgängeDefinieren von Admin-Richtlinien für ZugriffsrollenEine Admin-Richtlinie definiert Admin-Regeln, Bereichsregeln und Administratorrechtefür eine Rolle. Sie können verschiedene Admin-Richtlinien für eine Rolle definieren. JedeRichtlinie zeigt an, dass, wenn ein Administrator der Bedingung in der Admin-Regelentspricht, er den Bereichsumfang und die Administratorrechte hat, die für die Richtliniedefiniert sind.Gehen Sie wie folgt vor:1. Wählen Sie die Registerkarte "Administratoren" für die Zugriffsrolle aus.2. Wenn Sie die Option "Administratoren verwalten" verfügbar machen wollen,aktivieren Sie das Kontrollkästchen "Administratoren können Mitglieder dieser Rollehinzufügen oder aus ihr entfernen".Sofern Sie diese Funktion aktiviert haben, definieren Sie die Aktionen dafür, wennein Benutzer als ein Administrator der Rolle hinzugefügt oder entfernt wird.3. Fügen Sie auf der Registerkarte "Administratoren" Admin-Richtlinien hinzu, dieAdmin- und Bereichsregeln sowie Administratorrechte einschließen. Jede Richtliniebenötigt mindestens eine Berechtigung (Mitglieder verwalten oder Administratorenverwalten).Sie können mehrere Admin-Richtlinien mit unterschiedlichen Regeln undunterschiedlichen Berechtigungen für Administratoren, die der Regel entsprechen,hinzufügen.Hinweis: Definieren Sie Admin-Richtlinien, die nur Verzeichnisattribute verwenden,zum Beispiel: title=Manager. Wenn Sie Mitgliederrichtlinien definieren, die aufObjekte verweisen, die nicht im Benutzerverzeichnis gespeichert sind, wieAdmin-Rollen, kann SiteMinder den Verweis nicht auflösen.4. Um eine Richtlinie zu bearbeiten, klicken Sie links auf das Pfeilsymbol. Um sie zuentfernen, klicken Sie auf das Minuszeichen.5. Fahren Sie mit dem nächsten Abschnitt, Definieren von Eigentümerregeln fürZugriffsrollen, fort.352 Konfigurationshandbuch

SiteMinder-VorgängeDefinieren von Eigentümerregeln für ZugriffsrollenEine Eigentümerregel definiert, wer eine Rolle ändern kann. Sie können verschiedeneEigentümerregeln für eine Rolle definieren.Gehen Sie wie folgt vor:1. Wählen Sie die Registerkarte "Eigentümer" für die Zugriffsrolle aus.2. Definieren Sie Eigentümerregeln, die bestimmen, welche Benutzer die Rolle ändernkönnen.Hinweis: Definieren Sie Eigentümerregeln, die nur Verzeichnisattribute verwenden,zum Beispiel: title=Manager. Wenn Sie Eigentümerregeln definieren, die aufObjekte verweisen, die nicht im Benutzerverzeichnis gespeichert sind, wieAdmin-Rollen, kann SiteMinder den Verweis nicht auflösen.3. Klicken Sie auf "Senden".Aktivieren von Zugriffsrollen in SiteMinderEine Meldung wird eingeblendet, um anzuzeigen, dass die Aufgabe gesendetworden ist. Es kann eine vorübergehende Verzögerung auftreten, bevor einBenutzer die Rolle verwenden kann.Ein SiteMinder-Administrator bindet Rollen an Sicherheitsrichtlinien, die definieren, wieBenutzer mit Ressourcen interagieren. Richtlinien können die folgenden Objekteverknüpfen:■■Benutzer und Benutzergruppen – Identifizieren ein Set von Benutzern, die von einerRichtlinie betroffen sind.Rollen – Identifizieren Benutzer, denen ein Set von Berechtigungen in IdentityManager zugewiesen worden ist.■■Regeln – Identifizieren eine Ressource und die Aktionen, die für die Ressourceerlaubt oder unzulässig sind. Die Ressource ist normalerweise eine URL, eineAnwendung oder ein Skript.Antworten – Bestimmen eine Reaktion auf eine Regel. Wenn eine Regel ausgelöstwird, werden Antworten an einen SiteMinder-Agenten zurückgegeben.Identity Manager verwendet SiteMinder-Antworten, um bestimmte Aufgabe undRolleninformationen zu einer geschützten Ressource zu liefern.Sie können SiteMinder-Richtlinien an Benutzer, an Rollen oder an Benutzer und Rollenbinden. Wenn ein Benutzer oder Rollenmitglied versucht, auf eine geschützte Ressourcezuzugreifen, verwendet SiteMinder Informationen in der Richtlinie, um zu entscheiden,ob er Zugriff erteilt werden soll, und um Antworten auszulösen.Kapitel 12: Integration von CA SiteMinder 353

SiteMinder-VorgängeDie folgende Abbildung veranschaulicht die Beziehung von Richtlinienobjekten in einerrollenbasierten Richtlinie.SiteMinder-Richtlinien werden in Richtliniendomänen erstellt, die Benutzerverzeichnisselogisch an geschützte Ressourcen binden. Die folgende Abbildung veranschaulicht dieBeziehung von Richtlinienobjekten in einer rollenbasierten Richtlinie.354 Konfigurationshandbuch

SiteMinder-VorgängeSiteMinder-generierte AntwortattributeUm einer geschützten Anwendung Benutzerberechtigungen zu liefern, ordnet einSiteMinder-Administrator eine Regel in der Richtlinie der Anwendung paarweise miteiner Antwort an. Die Antwort enthält ein SiteMinder-generiertes Antwortattribut, dasBerechtigungsinformationen aus Identity Manager abruft.Wenn SiteMinder ein Rollenmitglied für eine geschützte Ressource genehmigt, findendie folgenden Ereignisse statt:1. Die Regel der Richtlinie wird in SiteMinder ausgeführt und löst die gepaarteAntwort aus.2. Der Richtlinienserver erhält Berechtigungsinformationen von Identity Manager zumEinschließen in eine Antwort.3. Der Richtlinienserver übergibt das Antwortattribut an den Web-Agenten.4. Der Web-Agent macht die Berechtigungsinformationen für die Anwendung alsHTTP-Header-Variable oder als Cookie verfügbar.Identity Manager übergibt Berechtigungsinformationen durch Antworten vonSiteMinder-Web-Agent an Anwendungen. Diese Antworten enthaltenHTTP-Header-Variablen in Antwortattributen, die von der Anwendung verwendetwerden können, um die Zugriffsberechtigungen eines Benutzers zu bestimmen.Antworten sind in SiteMinder-Richtlinien eingeschlossen, die entscheiden, wie Benutzermit einer geschützten Ressource interagieren.SiteMinder-Administratoren können eine Antwort konfigurieren, die zwei Typen vonAntwortattributen einschließt, um einer Anwendung Informationen zu übergeben:■■SM_USER_APPLICATION_ROLES[:Anwendungs-ID] – Gibt eine Liste von Rollenzurück, die einem Benutzer zugeordnet sindSM_USER_APPLICATION_TASKS[:Anwendungs-ID] – Gibt eine Liste von Aufgabenzurück, die ein Benutzer basierend auf ihm zugewiesenen Rollen ausführen kannDie Anwendungs-ID beschränkt das angeforderte Set von Rollen und Aufgaben auf einebestimmte Anwendung. Wenn Sie beispielsweise das folgende Antwortattributerstellen:SM_USER_APPLICATION_ROLES:FinanzanwendungGibt SiteMinder die Rollen, die Aufgaben in der Finanzanwendung haben, an denWeb-Agenten zurück, der dann die Informationen der Finanzanwendung übergibt.Hinweis: Die Anwendungs-ID, die Sie liefern, sollte mit einer Anwendungs-IDübereinstimmen, die Sie angegeben haben, als Sie "Zugriffsaufgabe erstellen" in IdentityManager verwendet haben. Wenn Sie die Aufgabe noch nicht erstellt haben, kann dieAnwendungs-ID ein von Ihnen gewählter Name sein, aber er darf keine Leerzeichen odernicht-alphanumerische Zeichen enthalten.Kapitel 12: Integration von CA SiteMinder 355

SiteMinder-VorgängeSie können mehrere Anwendungs-IDs in einer kommagetrennten Liste angeben, um dasSet von Rollen und Aufgaben von mehreren Anwendungen in einem einzelnenAntwortattribut zurückzugeben. Um zum Beispiel die Liste von Rollen zurückzugeben,die ein Benutzer in Finanz- und Einkaufsanwendungen hat, geben Sie Folgendes an:SM_USER_APPLICATION_ROLES:Finanzen, EinkaufCheckliste für das Aktivieren von Zugriffsrollen in SiteMinderHinweis: Die folgenden Schritte setzen voraus, dass die Anwendung, auf die sich dieZugriffsrolle, die Sie erstellen, bezieht, bereits von SiteMinder geschützt wird. Wenn Sieeine Zugriffsrolle für eine Anwendung erstellen, die nicht von SiteMinder geschütztwird, finden Sie im Handbuch für CA eTrust SiteMinder-Richtliniendesign Anweisungen,wie Sie die Anwendung in SiteMinder konfigurieren.Schritt1. Weisen Sie in der Richtlinienserver-Benutzeroberflächedas Benutzerverzeichnis, das mit der IdentityManager-Umgebung verknüpft ist, einerRichtliniendomäne zu.2. Fügen Sie die Identity Manager-Umgebung zurSiteMinder-Domäne hinzu, die die Anwendung schützt,auf die sich die Zugriffsrolle bezieht.Weitere Informationen finden Sieunter...CA eTrust SiteMinder-RichtliniendesignCA eTrust SiteMinder-Richtliniendesign3. Erstellen Sie in der Richtliniendomäne Bereiche undRegeln (wenn sie bereits nicht vorhanden sind), die denRessourcen entsprechen, auf die die Zugriffsrolle Zugrifferteilen wird.4. Erstellen Sie eine Antwort zur Weiterleitung vonBerechtigungsinformationen an die Ressource.CA eTrust SiteMinder-RichtliniendesignErstellen einer SiteMinder-Antwort (sieheSeite 358)5. Erstellen Sie eine Richtlinie, und ordnen Sie sie diesenObjekten zu:■■■Die Rolle, die Sie in Identity Manager erstellt haben.Die Bereiche und Regeln, die Sie in Schritt 2 erstellthaben.Die Antworten, die Sie in Schritt 4 erstellt haben.CA eTrust SiteMinder-Richtliniendesign356 Konfigurationshandbuch

SiteMinder-VorgängeHinzufügen von Identity Manager-Umgebungen zur einer RichtliniendomäneUm SiteMinder die Unterstützung von Zugriffsrollen zu ermöglichen, ordnen Sie eine CAIdentityMinder-Umgebung einem Benutzerverzeichnis und einer Richtliniendomäne inSiteMinder zu.Hinweis: Sie müssen den der CA IdentityMinder-Umgebung zugeordnetenBenutzerspeicher zur Richtliniendomäne hinzufügen, bevor Sie die CAIdentityMinder-Umgebung der Richtliniendomäne hinzufügen können.So fügen Sie eine CA IdentityMinder-Umgebung zu einer Richtliniendomäne hinzu1. Fügen Sie im Dialogfeld "Richtliniendomäne" in derRichtlinienserver-Benutzeroberfläche den zur CA IdentityMinder-Umgebungzugeordneten Benutzerspeicher folgendermaßen zu einer Richtliniendomäne hinzu:a. Wählen Sie die Registerkarte "Benutzerverzeichnisse" aus.b. Wählen Sie im Dropdown-Listenfeld unten auf der Registerkarte das in dieRichtliniendomäne einzuschließende Benutzerverzeichnis aus.c. Klicken Sie auf die Schaltfläche "Hinzufügen".Die Richtlinienserver-Benutzeroberfläche fügt das Verzeichnis zu der in derRegisterkarte "Benutzerverzeichnisse" angezeigten Liste hinzu.d. Klicken Sie auf "Apply" (Ü bernehmen).2. Fügen Sie die CA IdentityMinder-Umgebung wie folgt zur Richtliniendomäne hinzu:a. Wählen Sie die Registerkarte der CA IdentityMinder-Umgebungen aus.b. Wählen Sie die CA IdentityMinder-Umgebung, die Sie der Richtliniendomänezuordnen wollen, im Dropdown-Listenfeld unten auf der Registerkarte aus.c. Klicken Sie auf "Hinzufügen".Die Richtlinienserver-Benutzeroberfläche fügt Ihre Auswahl zur Liste der CAIdentityMinder-Umgebungen oben auf der Registerkarte hinzu.3. Klicken Sie auf "OK", um die Auswahl zu speichern und das Dialogfeld zu schließen.Die von Ihnen ausgewählten CA IdentityMinder-Umgebungen sind nun verfügbar,wenn Sie Richtlinien erstellen.Kapitel 12: Integration von CA SiteMinder 357

SiteMinder-VorgängeErstellen einer SiteMinder-Antwort1. Melden Sie sich bei der Richtlinienserver-Benutzeroberfläche an.2. Führen Sie je nach Ihren Administratorrechten einen der folgenden Schritte aus:■■Wenn Sie die Berechtigung "System- und Domänenobjekte verwalten" haben:a. Klicken Sie im Objektbereich auf die Registerkarte "Domänen".b. Wählen Sie die Richtliniendomäne aus, zu der Sie eine Antwort hinzufügenmöchten.Wenn Sie die Berechtigung zum Verwalten von Domänenobjekten haben,wählen Sie im Objektbereich die Richtliniendomäne aus, zu der Sie eineAntwort hinzufügen wollen.3. Wählen Sie in der Menüleiste "Bearbeiten", "", "Antworterstellen" aus.Das Antwort-Dialogfeld von SiteMinder öffnet sich (siehe Antwort-Dialogfeld).4. Geben Sie einen Namen und eine Beschreibung für die neue Antwort ein.5. Wählen Sie im Gruppenfeld "Agententyp" das Optionsfeld "SiteMinder" aus.6. Aktivieren Sie die Web-Agent-Option in der Dropdown-Liste im Gruppenfeld"Agententyp", und klicken Sie auf "Anwenden", um Ihre Änderungen zu speichern.7. Klicken Sie auf "Erstellen".Das Editor-Dialogfeld für das SiteMinder-Antwortattribut öffnet sich.8. Wählen Sie in der Attribut-Dropdown-Liste die WebAgent-HTTP-Header-Variable"Antwortattribut" aus.9. Wählen Sie in der Registerkarte zur Attributeinrichtung das Optionsfeld"Benutzerattribut" aus.10. Geben Sie im Feld "Variable" den Namen der Variable ein, die an die Anwendungübergeben wird.Wenn Sie zum Beispiel die Variable TASKS angeben, wird der folgende Header zurAnwendung zurückgegeben:HTTP_TASKS358 Konfigurationshandbuch

SiteMinder-Vorgänge11. Geben Sie im Feld "Attributname" das Antwortattribut folgendermaßen an:■ SM_USER_APPLICATION_ROLES[:Anwendungs-ID1, Anwendungs-ID2, ...,Anwendungs-IDn] – Gibt eine Liste von Rollen zurück, die einem Benutzerzugeordnet sind■ SM_USER_APPLICATION_TASKS[:Anwendungs-ID1, Anwendungs-ID2, ...,Anwendungs-IDn]SiteMinder-generierte Antwortattribute (siehe Seite 355) bieten weitereInformationen.12. Klicken Sie auf "OK", um die Änderungen zu speichern und zumSiteMinder-Verwaltungsfenster zurückzukehren.Hinzufügen von Rollen zu einer SiteMinder-RichtlinieWenn ein Benutzer, dem die entsprechende Zugriffsrolle zugewiesen worden ist,versucht, auf eine geschützte Ressource zuzugreifen, überprüft derSiteMinder-Richtlinienserver, dass die Zugriffsrolle dem Benutzer zugewiesen wordenist, und löst dann die in die Richtlinie eingeschlossenen Regeln aus, um zu bestätigen, obder Benutzer auf die Ressource zugreifen darf.So fügen Sie Rollen zu einer SiteMinder-Richtlinie hinzu1. Klicken Sie im SiteMinder-Dialogfeld "Richtlinie" auf die Registerkarte "Benutzer".Die Registerkarte "Benutzer" enthält Registerkarten für jede(s) in dieRichtliniendomäne eingeschlossene Benutzerverzeichnis und CAIdentityMinder-Umgebung.2. Wählen Sie die CA IdentityMinder-Umgebung aus, die die Rollen enthält, die Sie derRichtlinie hinzufügen wollen.3. Klicken Sie auf die Schaltfläche "Hinzufügen/Entfernen".Das Dialogfeld für die Identity Manager-Rolle der SiteMinder-Richtlinie öffnet sich.4. Um der Richtlinie Rollen hinzuzufügen, wählen Sie einen Eintrag aus der Liste derverfügbaren Mitglieder aus und verschieben ihn zur Liste der aktuellen Mitglieder.5. Klicken Sie auf "OK", um die Änderungen zu speichern und zum Dialogfeld derSiteMinder-Richtlinie zurückzukehren.Kapitel 12: Integration von CA SiteMinder 359

SiteMinder-VorgängeAusschließen von Rollen in einer RichtlinieNeben der Verwendung von Zugriffsrollen, um Zugriff auf Anwendungen zu erteilen,können Sie Zugriffsrollen auch verwenden, um zu verhindern, das Mitglieder vonZugriffsrollen auf eine Anwendung zugreifen. Um Mitglieder von Zugriffsrollen davonabzuhalten, auf eine Anwendung zuzugreifen, schließen Sie die Rollen aus denSiteMinder-Richtlinien aus. Wenn ein Benutzer, dem die ausgeschlossene Zugriffsrolle inCA IdentityMinder zugewiesen worden ist, versucht, auf eine geschützte Ressourcezuzugreifen, überprüft der Richtlinienserver den Ausschluss der CA IdentityMinder-Rollefür den zugeordneten Benutzer. Nach der Ü berprüfung sperrt er Zugriff auf dieRessource.Gehen Sie wie folgt vor:1. Klicken Sie im SiteMinder-Dialogfeld "Richtlinie" auf die Registerkarte "Benutzer".Die Registerkarte "Benutzer" enthält Registerkarten für jede(s) in dieRichtliniendomäne eingeschlossene Benutzerverzeichnis und CAIdentityMinder-Umgebung.2. Klicken Sie auf die CA IdentityMinder-Umgebung, die die Rollen enthält, die Sie ausIhrer Richtlinie ausschließen wollen.3. Klicken Sie auf die Schaltfläche "Hinzufügen/Entfernen".Das Dialogfeld für die CA IdentityMinder-Rolle der SiteMinder-Richtlinie öffnet sich.4. Um der Richtlinie Rollen hinzuzufügen, wählen Sie einen Eintrag aus der Liste derverfügbaren Mitglieder aus und klicken Sie auf den Pfeil nach links, der auf die Listeder aktuellen Mitglieder verweist.Der umgekehrte Vorgang entfernt Rollen aus der aktuellen Mitgliederliste.5. Wählen Sie in der Liste der aktuellen Mitglieder die auszuschließenden Rollen aus,und zu klicken Sie auf die Schaltfläche "Ausschließen", die sich unter der Listebefindet.Ein roter durchgestrichener Kreis wird links von den ausgeschlossenen Rollenangezeigt.6. Klicken Sie auf "OK", um die Änderungen zu speichern und zum Dialogfeld derSiteMinder-Richtlinie zurückzukehren.Konfigurieren des LogOff-URIUm eine CA IdentityMinder-Umgebung zu schützen, konfigurieren Sie denSiteMinder-Web-Agenten, der die Umgebung schützt, sodass die Benutzersitzungbeendet wird, nachdem der Benutzer sich bei CA IdentityMinder abgemeldet hat.Der Web-Agent beendet eine Benutzersitzung, indem er die SiteMinder-Sitzungs- undAuthentifizierungs-Cookies aus dem Webbrowser löscht und den Richtlinienserverbeauftragt, Sitzungsinformationen zu entfernen.360 Konfigurationshandbuch

SiteMinder-VorgängeUm die SiteMinder-Sitzung zu beenden, konfigurieren Sie die Abmeldefunktionalität imLogOffURI-Feld im Agent-Konfigurationsobjekt für den SiteMinder-Agenten, der die CAIdentityMinder-Umgebung schützt.Hinweise:■■Ein SiteMinder-Agent hat ein LogOff-URI. Alle vom Agenten geschütztenAnwendungen verwenden die gleiche Abmeldeseite.Wenn Sie benutzerdefinierte Abmeldeseiten in der Management-Konsole wie imAbschnitt zum Konfigurieren von benutzerdefinierten Abmeldeseiten beschriebenkonfigurieren, sendet CA IdentityMinder die Abmeldeanfrage an diebenutzerdefinierte Abmeldeseite und den LogOff-URI. Allerdings zeigt CAIdentityMinder dem Benutzer nur die benutzerdefinierte Abmeldeseite an.Gehen Sie wie folgt vor:1. Melden Sie sich bei einer der folgenden Schnittstellen an:■■Für CA SiteMinder r12 oder höher melden Sie sich bei derVerwaltungsoberfläche an.Für CA eTrust SiteMinder 6.0 SP5 melden Sie sich bei derRichtlinienserver-Benutzeroberfläche an.Hinweis: Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie inder Dokumentation der SiteMinder-Version, die Sie verwenden.2. Ändern Sie die Eigenschaft "#LogOffUri" im Agent-Konfigurationsobjekt für denAgenten, der die CA IdentityMinder-Umgebung schützt, wie folgt:■ Entfernen Sie das Rautenzeichen (#).■Geben Sie im Feld "Wert" folgenden URI an:/iam/im/logout.jspHinweis: Sie wählen ein Agent-Konfigurationsobjekt aus, wenn Sie denWeb-Agenten installieren. Weitere Informationen finden Sie imInstallationshandbuch zum CA SiteMinder Web Access Manager-Richtlinienserver.3. Speichern Sie die Änderungen.4. Starten Sie den Webserver neu.Kapitel 12: Integration von CA SiteMinder 361

SiteMinder-VorgängeAliasnamen in SiteMinder-BereichenEin Alias ist eine eindeutige Zeichenfolge, die der URL hinzugefügt wird, um auf eine CAIdentityMinder-Umgebung zuzugreifen. Wenn zum Beispiel der Aliasname einerUmgebung employees ist, ist die URL, mit der man auf diese Umgebung zugreift,folgendermaßen:http://myserver.mycompany.org/iam/im/employeesmyserver.mycompany.orgDefiniert den voll qualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist.Sie geben mindestens ein Alias an, wenn Sie eine CA IdentityMinder-Umgebung in derManagement-Konsole erstellen. (Sie können auch ein öffentliches Alias angeben.)SiteMinder verwendet den Umgebungsnamen, um die Objekte zu benennen, die dieUmgebung schützen. Wenn Sie den Namen employees angeben, erstellt SiteMinder zumBeispiel Objekte mit dem Namen employeesobject_type.object_typeDefiniert das SiteMinder-Objekt, wie employees_ims_realm.Die folgende Abbildung zeigt zwei der Objekte, die SiteMinder erstellt:Aktualisieren eines Alias in SiteMinder-BereichenWenn Sie das geschützte oder öffentliche Alias in der Management-Konsole ändern,versucht CA IdentityMinder, die Aliasnamen im Richtlinienserver zu aktualisieren. WennCA IdentityMinder die Namen nicht aktualisieren kann, können Sie sie manuell in einerder folgenden Schnittstellen aktualisieren:■■Für CA SiteMinder Web Access Manager r12 oder höher verwenden Sie dieVerwaltungsoberfläche.Für CA eTrust SiteMinder 6.0 SP5 verwenden Sie dieRichtlinienserver-Benutzeroberfläche.362 Konfigurationshandbuch

SiteMinder-VorgängeGehen Sie wie folgt vor:1. Suchen Sie die Bereiche für die CA IdentityMinder-Umgebung.Diese Bereiche werden automatisch erstellt (mit anderen erforderlichenSiteMinder-Objekten), wenn CA IdentityMinder in SiteMinder integriert ist.Die Bereiche verwenden die folgende Namenskonvention:■■Identity Manager-Umgebung_ims_realm – Schützt die Benutzerkonsole.Identity Manager-Umgebung_pub_realm – Ermöglicht die Unterstützung vonöffentlichen Aufgaben wie Selbstregistrierung und vergessene Kennwörter.Dieser Bereich wird nur angezeigt, wenn Sie ein öffentliches Alias konfigurierthaben.Hinweis: Wenn Sie die Richtlinienserver-Benutzeroberfläche verwenden, umden Bereich zu ändern, suchen Sie zuerst die Richtliniendomäne (IdentityManager-UmgebungDomain) für die CA IdentityMinder-Umgebung. DieseBereiche befinden sich unter der Domäne.2. Ändern Sie die Ressource für den Bereich folgendermaßen:/iam/im/new_aliasEntfernen Sie nicht "/iam/im/", das dem Alias im Ressourcenfilter vorangeht.3. Speichern Sie die Änderungen.Hinweis: Im Abschnitt über das Ändern der CA IdentityMinder-Eigenschaften finden SieAnweisungen, wie Sie ein Alias in der Management-Konsole ändern.Ändern eines SiteMinder-Kennworts oder gemeinsamen geheimen SchlüsselsWenn Sie die CA IdentityMinder-Erweiterungen des Richtlinienservers installieren,liefern Sie das Kennwort für das SiteMinder-Administratorkonto, das CA IdentityMinderverwendet, um mit dem Richtlinienserver zu kommunizieren.Sie können das Kennwort ändern; allerdings muss das Kennwort verschlüsselt werden.Um ein Kennwort zu verschlüsseln, verwenden Sie das Kennwort-Tool, das mit CAIdentityMinder geliefert wird.Hinweis: Vergewissern Sie sich, dass die JAVA_HOME-Variable für Ihre Umgebungdefiniert ist, bevor Sie das SiteMinder-Kennwort ändern.Kapitel 12: Integration von CA SiteMinder 363

SiteMinder-VorgängeGehen Sie wie folgt vor:1. Verschlüsseln Sie das Kennwort folgendermaßen:a. Navigieren Sie von der Befehlszeile zu "admin_tools\PasswordTool", wobeiadmin_tools der installierte Speicherort der Verwaltungstools ist, wie in denfolgenden Beispielen angegeben:■■Windows: C:\Programme\CA\Identity Manager\IAM Suite\IdentityManager\tools\PasswordToolUNIX:/opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/PasswordToolb. Geben Sie folgenden Befehl ein:pwdtools new_passwordIn diesem Befehl ist new_password das zu verschlüsselnde Kennwort.Hinweis: Geben Sie für Information zu Optionen für das Hilfsprogramm"pwdtools" den folgenden Befehl ein:pwdtools helpc. Kopieren Sie das verschlüsselte Kennwort.2. Führen Sie die entsprechenden Schritte aus:■Wenn CA IdentityMinder auf einem WebLogic-Anwendungsserver ausgeführtwird, gehen Sie wie folgt vor:a. Bearbeiten Sie in der WebLogic-Konsole den WebLogic-Ressourcenadapterim Connector-Deskriptor "policyserver_rar".b. Fügen Sie das verschlüsselte Kennwort als Wert der Kennworteigenschafthinzu.■Wenn CA IdentityMinder auf einem JBoss-Anwendungsserver ausgeführt wird,gehen Sie wie folgt vor:A. Ö ffnen Sie "ra.xml" unter"JBoss_home\server\default\deploy\iam_im.ear\policyserver_rar\META-INF".B. Fügen Sie das verschlüsselte Kennwort als Wert von "config-property""Password" hinzu.■Wenn CA IdentityMinder auf einem WebSphere-Anwendungsserver ausgeführtwird, gehen Sie wie folgt vor:A. Ö ffnen Sie in der WebSphere-Konsole "ra.xml".B. Fügen Sie das verschlüsselte Kennwort als Wert von "config-property""Password" hinzu.3. Starten Sie den Anwendungsserver neu.364 Konfigurationshandbuch

SiteMinder-VorgängeKonfigurieren einer CA IdentityMinder-Umgebung zur Verwendung vonunterschiedlichen Verzeichnissen für Authentifizierung und AutorisierungUnter Umständen muss ein Administrator Benutzer verwalten, deren Profile in einemanderen Benutzerspeicher als dem vorhanden sind, der für die Authentifizierung desAdministrators verwendet wird. Mit anderen Worten, beim Anmelden ind der CAIdentityMinder-Umgebung muss der Administrator anhand eines Verzeichnissesauthentifiziert werden und in einem zweiten Verzeichnis für die Benutzerverwaltungautorisiert werden, wie in der folgenden Abbildung gezeigt:Gehen Sie wie folgt vor:1. Melden Sie sich bei einer der folgenden Schnittstellen an:■■Für CA SiteMinder Web Access Manager r12 oder höher melden Sie sich bei derVerwaltungsoberfläche an.Für CA eTrust SiteMinder 6.0 SP5 melden Sie sich bei derRichtlinienserver-Benutzeroberfläche an.Hinweis: Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie inder Dokumentation der SiteMinder-Version, die Sie verwenden.2. Erstellen Sie zwei Benutzerverzeichnisse.Ein Verzeichnis bezieht sich auf die Authentifizierungsdaten (Administratorprofile);das andere Verzeichnis bezieht sich auf die Autorisierungsdaten (Benutzerprofile).3. Erstellen Sie in der Management-Konsole eine CA IdentityMinder-Umgebung.Wählen Sie das Autorisierungsverzeichnis als das CA IdentityMinder-Verzeichnisaus.Kapitel 12: Integration von CA SiteMinder 365

SiteMinder-Vorgänge4. Fügen Sie in der Schnittstelle für die verwendete Version von SiteMinder dasAuthentifizierungsverzeichnis der Domäne für die CA IdentityMinder-Umgebunghinzu, die Sie im vorherigen Schritt erstellt haben.Die Domäne und andere Objekte, die für SiteMinder erforderlich sind, werdenautomatisch erstellt, wenn Sie eine Umgebung erstellen und SiteMinder in CAIdentityMinder integriert ist.Die Domäne verwendet die folgende Namenskonvention:Identity Manager-UmgebungDomain5. Vergewissern Sie sich, dass dieses Verzeichnis zuerst in der Liste von Verzeichnissenangezeigt wird, die zur Domäne zugeordnet sind.6. Suchen Sie Identity Manager-Umgebung_ims_realm.7. Ordnen Sie das Autorisierungverzeichnis zum Authentifizierungsverzeichnis imAbschnitt "Erweitert" der Bereichsdefinition zu.8. Suchen Sie die Antwort "Identity Manager-Umgebungresponse_ims".9. Fügen Sie den Antworten wie folgt Antwortattribute hinzu:FeldAttributAttributtypVariablennameAttributnameWertWeb-Agent-HTTP-Header-VariableBenutzerattributsm_userdnSM_USERNAME10. Speichern Sie die Änderungen.CA IdentityMinder verwendet jetzt unterschiedliche Verzeichnisse fürAuthentifizierung und Autorisierung.366 Konfigurationshandbuch

SiteMinder-VorgängeSo verbessern Sie die Leistung von LDAP-VerzeichnisvorgängenDas Bearbeiten von Verzeichnisvorgängen kann länger dauern, weil alle CAIdentityMinder-Anfragen für das LDAP-Benutzerverzeichnis durch ein festes Set vonVerbindungen geleitet werden.Um den Durchsatz von CA IdentityMinder-Anfragen an den Benutzerspeicher zuerhöhen, konfigurieren Sie SiteMinder, um mehrere Verbindungen für das gleicheVerzeichnis zu öffnen. Fügen Sie dazu den LDAP-Server in derRichtlinienserver-Benutzeroberfläche mehrmals zum LDAP Verzeichnis-Failover und zurLastenausgleichseinrichtung hinzu.Wie oft Sie den LDAP-Server eingeben (und die Anzahl der zu erstellendenVerbindungen) hängt von der Last auf CA IdentityMinder ab.Kapitel 12: Integration von CA SiteMinder 367

Anhang A: FIPS 140-2-KompatibilitätDieses Kapitel enthält folgende Themen: Ü bersicht (siehe Seite 369)Kommunikation (siehe Seite 370)Installation (siehe Seite 370)Herstellen einer Verbindung mit SiteMinder (siehe Seite 371)Schlüsseldatei-Speicherung (siehe Seite 371)Das Kennwort-Tool (siehe Seite 372)FIPS-Modus-Erkennung (siehe Seite 374)Verschlüsselte Textformate (siehe Seite 375)Verschlüsselte Informationen (siehe Seite 375)FIPS-Modus-Protokollierung (siehe Seite 375) ÜbersichtDie FIPS-Veröffentlichung (Federal Information Processing Standards) 140-2 ist einSicherheitsstandard für die kryptographischen Bibliotheken und Algorithmen, die einProdukt für die Verschlüsselung verwenden sollte. Die FIPS 140-2-Verschlüsselung wirktsich auf die Ü bermittlung aller sensiblen Daten zwischen verschiedenenCA-Produktkomponenten sowie zwischen CA-Produkten und Produkten vonDrittanbietern aus. In der FIPS-Veröffentlichung 140-2 sind die Anforderungenfestgelegt, die erfüllt werden müssen, um innerhalb eines Sicherheitssystems zumSchutz von sensiblen, nicht klassifizierten Daten kryptographische Algorithmen zuverwenden.CA Identity Manager verwendet den von der US-Regierung angepassten AdvancedEncryption Standard (AES). CA Identity Manager integriert die kryptografischenBibliotheken RSA Crypto-J v3.5 und Crypto-C ME v2.0, für die bestätigt wurde, dass siedie Sicherheitsanforderungen für kryptografische Module gemäß FIPS 140-2 erfüllen.Anhang A: FIPS 140-2-Kompatibilität 369

KommunikationKommunikationFIPS-Verschlüsselung deckt alle Datenkommunikationen zwischen CA IdentityMinderund den folgenden Komponenten ab:■■■■■■■■■■CA IdentityMinder-ServerBereitstellungsserverBereitstellungsmanager und ClientsC++-Connector-ServerC++-Connector-Server-Endpunkte (falls vom Endpunkt unterstützt)CA IAM-Connector-Server (CA IAM CS)CA IAM CS-Endpunkte (falls vom Endpunkt unterstützt)Connector Xpress (falls vom Endpunkt unterstützt)Windows-Kennwortsynchronisierungs-AgentenJava-Identitäts- und Zugriffsmanagement (JIAM)InstallationMithilfe des Identity Manager-Installationsprogramms können Sie CA IdentityMinder sokonfigurieren, dass die Anforderungen gemäß FIPS 140-2 erfüllt werden.Alle Komponenten in einer Identity Manager-Umgebung müssen für FIPS 140-2 aktiviertsein, damit Identity Manager FIPS 140-2 unterstützt. Um FIPS 140-2 während derInstallation zu aktivieren, ist ein FIPS-Verschlüsselungscode erforderlich. EinKennwort-Tool (pwdtools.bat/pwdtools.sh) für das Generieren eines FIPS-Schlüsselsbefindet sich im folgenden Verzeichnis:\PasswordTool\pwdtools.batWichtig! Verwenden Sie in allen Installationen den gleichen FIPS140-2-Verschlüsselungscode, und stellen sicher, dass die mit dem Kennwort-Toolgenerierte Schlüsseldatei gesichert ist.370 Konfigurationshandbuch

Herstellen einer Verbindung mit SiteMinderHerstellen einer Verbindung mit SiteMinderWenn Sie während der Identity Manager-Installation eine Verbindung mit CASiteMinder herstellen, ist zu beachten, dass der FIPS-Modus undProduktversionskonfigurationen nur in dem in der folgenden Tabelle aufgeführtenUmfang unterstützt werden:Identity Manager r12 SiteMinder SiteMinder-VersionModus "Nur FIPS" Modus "Nur FIPS" r12Modus "Nur FIPS" FIPS-kompatibler Modus r12Nicht-FIPS-Modus FIPS-kompatibler Modus r12Nicht-FIPS-Modus Nicht-FIPS-Modus r6Schlüsseldatei-SpeicherungCA IdentityMinder verwendet das Dateisystem zum Speichern desFIPS-Verschlüsselungscodes. Der CA IdentityMinder-Administrator ist dafürverantwortlich, unbefugten Zugriff auf Dateien zu verhindern. Zu diesem Zweck legt erdie Verzeichniszugriffsberechtigungen für bestimmte Gruppen- oder Benutzertypenfest, beispielsweise für Benutzer, die berechtigt sind, CA IdentityMinder auszuführen.In der folgenden Tabelle ist der Speicherort der FIPS-Schlüsseldateien für jede CAIdentityMinder aufgeführt.KomponenteCA IdentityMinder-ServerBereitstellungsserverC++ Connector ServerInstallationsortIdentityMinder.ear\config\com\netegrity\config\keys\FIPSkey.datIdentityMinder.ear ist der Ort, an dem CA IdentityMinder auf demAnwendungsserver installiert wird.Bereitstellungsserverinstallation\data\tls\keymgmt\imps_datakeyBereitstellungsserverinstallation\data\tls\keymgmt\imps_datakeyAnhang A: FIPS 140-2-Kompatibilität 371

Das Kennwort-ToolDas Kennwort-ToolDas FIPS-kompatible Kennwort-Tool-Hilfsprogramm "pwdtools.bat" (oder"pwdtools.sh") kann während der CA IdentityMinder-Installation von der Befehlszeileden Verschlüsselungscode generieren.Bearbeiten Sie die Datei "pwdtools.bat"/"pwdtools.sh", bevor Sie das Kennwort-Toolverwenden, und legen Sie die JAVA_HOME-Variable wie erforderlich fest.Wichtig! CA IdentityMinder unterstützt keine Datenmigration oderWiederverschlüsselung. Stellen Sie deshalb sicher, dass die Verschlüsselungscodes nachder Installation nicht geändert werden.Dieser Befehl hat folgende Syntax:pwdtools -{FIPSKEY|JSAFE|FIPS|RC2} -p plain text [-k ] [-f]JSAFEFIPSKEYVerschlüsselt einen einfachen Textwert unter Verwendung des PBE-Algorithmus.Beispiel:pwdtools -JSAFE –p mypasswordErstellt eine FIPS-Schlüsseldatei für das Installationsprogramm. Sie generieren denSchlüssel, bevor Sie CA IdentityMinder installieren.Beispiel:pwdtools -FIPSKEY –k C:\keypath\FIPSkey.datDabei ist keypath der vollständige Pfad zu dem Speicherort, wo Sie denFIPS-Schlüssel speichern wollen.Das Kennwort-Tool erstellt den FIPS-Schlüssel am angegebenen Speicherort.Während Installation geben Sie den Speicherort der FIPS-Schlüsseldatei für dasInstallationsprogramm an.Hinweis: Sichern Sie den Schlüssel, indem Sie die Verzeichniszugriffsberechtigungenfür bestimmte Gruppen- oder Benutzertypen festlegen, z. B. der Benutzer, der zumAusführen von CA IdentityMinder berechtigt ist.372 Konfigurationshandbuch

Das Kennwort-ToolFIPSRC2Verschlüsseln Sie einen einfachen Textwert unter Verwendung einerFIPS-Schlüsseldatei. FIPS verwendet die vorhandene FIPS-Schlüsseldatei.Beispiel:pwdtools -FIPS –p firewall -k C:\keypath\FIPSkey.datWobei keypath der vollständige Pfad zum FIPS-Schlüsselverzeichnis ist.Hinweis: Verwenden Sie die gleiche FIPS-Schlüsseldatei, die Sie währendInstallation angegeben haben.Verschlüsselt einen einfachen Textwert unter Verwendung des RC2-Algorithmus.Wichtig! CA IdentityMinder verwendet die FIPS-Schlüsseldatei, um zu überprüfen, obdie Anwendung im FIPS-Modus oder im Nicht-FIPS-Modus starten soll. Vergewissern Siesich deswegen, dass die Schlüsseldatei "FIPSKey.dat" genannt wird und den folgendenAnwendungsserver-Bereitstellungspfad hat:iam_im.ear\config\com\netegrity\config\keys\FIPSkey.datDabei ist "iam_im.ear" im Anwendungsserver-Bereitstellungsverzeichnis, zum Beispiel:jboss_home\server\default\deployAnhang A: FIPS 140-2-Kompatibilität 373

FIPS-Modus-ErkennungFIPS-Modus-ErkennungUm festzustellen, ob CA IdentityMinder im FIPS-Modus oder im Nicht-FIPS-Modusausgeführt wird, verwenden Sie die Statusseite der CA IdentityMinder-Umgebung.Geben Sie die folgende URL in einem Browser ein, um auf die Statusseite zuzugreifen:http://server_name/idm/status.jspserver_nameBestimmt den vollqualifizierten Domänennamen des Servers, auf dem CAIdentityMinder installiert ist, zum Beispiel myserver.mycompany.com. In diesemBeispiel lautet die vollständige URL:http://myserver.mycompany.com/idm/status.jspDer FIPS-Status wird im unteren Bereich der Seite angezeigt.Hinweis: Sie können auch überprüfen, ob CA IdentityMinder im FIPS-Modus ausgeführtwird, indem Sie nach der folgenden Schlüsseldatei suchen:/config/com/netegrity/config/keys/FIPSkey.datWenn diese Datei vorhanden ist, wird CA IdentityMinder im FIPS-Modus ausgeführt.Die FIPSkey.dat-Schlüsseldatei wird vom Kennwort-Tool-Hilfsprogramm - pwdtools.bat(oder pwdtools.sh) - während der Installation von erstellt.374 Konfigurationshandbuch

Verschlüsselte TextformateVerschlüsselte TextformateDer Algorithmusname wird dem verschlüsselten Text als ein Präfix hinzugefügt undinformiert CA IdentityMinder, welcher Algorithmus für die Verschlüsselung verwendetwurde.Im FIPS-Modus ist das Präfix {AES}. Wenn Sie beispielsweise den Text "password"verschlüsseln, ist der verschlüsselte Text ähnlich wie das folgende Beispiel:{AES}:eolQCTq1CGPyg6qe++0asg==Im Nicht-FIPS-Modus (oder JSAFE-Modus) ist das Präfix (Algorithmustag) je nachAlgorithmus {PBES} oder {RC2}. Wenn Sie beispielsweise den Text "password"verschlüsseln, ist der verschlüsselte Text ähnlich wie folgt:{PBES}:gSex2/BhDGzEKWvFmzca4w==Sie können dynamische Schlüssel mithilfe der Aufgabe für geheime Schlüssel imSystem erstellen. Wenn Sie dynamische Schlüssel definieren, wird die Schlüssel-IDzwischen einem Algorithmustag und Tagtrennzeichen eingefügt (":"). Fehlt dieSchlüssel-ID in den verschlüsselten Daten, zeigt dies an, dass hartcodierter Schlüsselfür die Verschlüsselung verwendet wurde. Dies kann für Rückwärtskompatibilitätverwendet werden, oder wenn keine dynamischen Schlüssel für den jeweiligenAlgorithmus definiert sind.Verschlüsselte InformationenDie folgenden CA IdentityMinder-Informationen werden verschlüsselt:■ Kennwörter in der Datenquellenkonfiguration für Jboss■ Informationen zum Wiederherstellen vergessener Kennwörter■■■Geheimer Wert für Bereitstellungsserver-RückrufWorkflow-SitzungsinformationenRichtlinienserver-VerbindungsinformationenFIPS-Modus-ProtokollierungDie folgenden CA Identity Manager-Komponenten zeigen in Protokolldateien an, ob derFIPS-Modus aktiviert ist:■■Identity Manager-ServerBereitstellungsserverAnhang A: FIPS 140-2-Kompatibilität 375

FIPS-Modus-Protokollierung■■■■C++ Connector ServerJava Connector ServerBereitstellungs-ManagerAgent für die KennwortsynchronisierungIn allen Fällen endet der Protokolleintrag, der anzeigt, dass der FIPS-Modus aktiviert ist,mit der folgenden Zeichenfolge:FIPS 140-2 MODE: ON376 Konfigurationshandbuch

Anhang B: Ersetzen von CA IdentityMinderZertifikate durch SHA-2-signierteSSL-ZertifikateSHA-2-SSL-Zertifikat-Hashing ist ein kryptografischer Algorithmus, der vom NationalInstitute of Standards and Technology (NIST) und der National Security Agency (NSA)entwickelt wurde. SHA-2-Zertifikate sind sicherer als alle vorherigen Algorithmen. In CAIdentityMinder können Sie SHA-2-signierte SSL-Zertifikate anstelle von Zertifikatenkonfigurieren, die mit der SHA-1-Hash-Funktion signiert wurden.Hinweis: Weitere Informationen zur Konfiguration von SSL-Zertifikaten finden Sie imInstallationshandbuch.Die folgende Tabelle zeigt den Pfad auf dem CA IdentityMinder-Server an, wo Sie dieSHA-2-signierten Zertifikate speichern können:Zertifikate Installationspfad BeschreibungBereitstellungsserver-Zertifikat[Bereitstellungsserver-Installationsverzeichnis]/data/tls/server/eta2_servercert.pem[Bereitstellungsserver-Installationsverzeichnis]/data/tls/server/eta2_serverkey.pemcs_install/ccs/data/tls/server/eta2_servercert.pemcs_install/ccs/data/tls/server/eta2_serverkey.pemcs_install/jcs/conf/eta2_server.p12Vom Bereitstellungsserver im.pem-Format und von CA IAM CS im.p12-Format verwendet(einschließlich signiertes Zertifikat,privater Schlüssel undStamm-CA-Zertifikat).Hinweis: Importieren Sie"eta2_server.p12" in"cs_install/jcs/conf/ssl.keystore"unter dem Alias "eta2_server", undentfernen Sie den vorhandenenEintrag. Das ssl.keystore-Kennwortist das Kennwort desConnector-Servers, das während derInstallation angegeben wird.Anhang B: Ersetzen von CA IdentityMinder Zertifikate durch SHA-2-signierte SSL-Zertifikate 377

FIPS-Modus-ProtokollierungZertifikate Installationspfad BeschreibungBereitstellungs-Client-ZertifikatVertrauenswürdigesZertifikat desBereitstellungsverzeichnissesPersönliches ZertifikatdesBereitstellungsverzeichnisses[Bereitstellungsserver-Installationsverzeichnis]/data/tls/client/eta2_clientcert.pem[Bereitstellungsserver-Installationsverzeichnis]/data/tls/client/eta2_clientkey.pem[Bereitstellungsmanager-Installationsverzeichnis]/data/tls/client/eta2_clientcert.pem[Bereitstellungsmanager-Installationsverzeichnis]/data/tls/client/eta2_clientkey.pemcs_install/ccs/data/tls/client/eta2_clientcert.pemcs_install/ccs/data/tls/client/eta2_clientkey.pemcs_install/jcs/conf/eta2_client.p12cadir_install/config/ssld/impd_trusted.pemcadir_install/config/ssld/personalities/impd-co.pemcadir_install/config/ssld/personalities/impd-inc.pemcadir_install/config/ssld/personalities/impd-main.pemcadir_install/config/ssld/personalities/impd-notify.pemcadir_install/config/ssld/personalities/impd-router.pemVom Bereitstellungsserver im.pem-Format und von CA IAM CS im.p12-Format verwendet(einschließlich signiertes Zertifikat,privater Schlüssel undStamm-CA-Zertifikat).Von CA Directory im .pem-Formatverwendet. Es muss Zertifikatsinhaltin der folgenden Struktur enthalten:-----BEGIN CERTIFICATE-----Cert contents-----END CERTIFICATE-----Von CA Directory im .pem-Formatverwendet.378 Konfigurationshandbuch

FIPS-Modus-ProtokollierungZertifikate Installationspfad BeschreibungRoot-CA-Zertifikat[Bereitstellungsserver-Installationsverzeichnis]/data/tls/et2_cacert.pem[Bereitstellungsmanager-Installationsverzeichnis]/data/tls/et2_cacert.pemcs_install/ccs/data/tls/ et2_cacert.pemconxp_install/lib/jiam.jar[Anwendungsserver-Installationsverzeichnis]/iam_im.ear/library/jiam.jarZertifikat wird in ConnectorXpress-Schlüsselspeicher unter"[ConnectorXpress-Installationsverzeichnis]/conf/ssl.keystore" importiert.Das Zertifikat muss auch in denjiam.jar-Schlüsselspeicher importiertwerden. Extrahieren Sie zumImportieren die jar-Datei,importieren Sie das Zertifikat in"admincacerts.jks" und verpacken Siedann den jar-Inhalt erneut. DasSchlüsselspeicherkennwort von"admincacerts.jks" ist "changeit".Ü berprüfen Sie, dass alle Kopien von"jiam.jar" ersetzt werden.Anhang B: Ersetzen von CA IdentityMinder Zertifikate durch SHA-2-signierte SSL-Zertifikate 379

Nützliche BefehleNützliche BefehleDas OpenSSL-Programm ist ein Befehlszeilentool für die Verwendung der verschiedenenKryptografiefunktionen aus der Bibliothek von OpenSSL. Dieses Tool wird mit IMPSunter "[Bereitstellungsserver-Installationsverzeichnis]/bin" geliefert.Die folgende Tabelle enthält einige nützliche Befehle von OpenSSL, um verschiedeneBefehle für die Verwaltung von Zertifikaten auszuführen:BefehleBeschreibungopensslx509 –incert.pem–text–nooutopenssl.exe pkcs12-inmy.pkcs12-infoopenssl.exe pkcs12-export-chain–inkeykey.pem–incert.pem-CAfilecacert.pem-outmy.p12keytool-list -v-keystoremy.keystorekeytool–list –v–aliasmyalias–keystoremy.keystoreDruckt den Inhalt des .pem-Zertifikats.Druckt den Inhalt der .p12-Datei.Konvertiert .pem Zert-/Schlüsselpaar zu .p12.Druckt den Inhalt eines Java-Schlüsselspeichers.Druckt den Inhalt eines spezifischen Alias in einem Java-Schlüsselspeicher.380 Konfigurationshandbuch

Nützliche BefehleBefehleBeschreibungkeytool–delete–aliasmyalias–keystoremy.keystorekeytool–importkeystore–destkeystoremy.keystore–srckeystore src.p12–srcstoretype PKCS12–srcalias1–destaliasmyaliaskeytool-import-trustcacerts -aliasmyrootca-filerootcacert.pem-keystoremy.keystoreLöscht ein Alias aus einem Java-Schlüsselspeicher.Importiert eine .p12-Datei in einen Java-Schlüsselspeicher.Importiert ein .pem Root-CA-Zertifikat in einen Java-Schlüsselspeicher.Anhang B: Ersetzen von CA IdentityMinder Zertifikate durch SHA-2-signierte SSL-Zertifikate 381

Index%%ADMIN_ROLE_CONSTRAINT% - 145%DYNAMIC_GROUP_MEMBERSHIP% - 83%ENABLED_STATE% - 80%FIRST_NAME% - 80%FULL_NAME% - 80%GROUP_ MEMBERSHIP% - 83%GROUP_ADMIN% - 83%GROUP_ADMIN_GROUP% - 83%GROUP_DESC% - 83%GROUP_NAME% - 83%IDENTITY_POLICY% - 80, 145%LAST_CERTIFIED_ DATE% - 80, 145%LAST_NAME% - 80%MEMBER_OF% - 80%NESTED_GROUP_MEMBERSHIP% - 83%ORG_DESCR% - 85%ORG_MEMBERSHIP% - 80, 83, 85, 145, 147Verzeichnisstruktur bestimmen - 87%ORG_MEMBERSHIP_ NAME% - 80%ORG_MEMBERSHIP_NAME% - 83, 85%ORG_NAME% - 85%PASSWORD% - 80%PASSWORD_DATA% - 80%PASSWORD_HINT% - 80, 145%SELF_SUBSCRIBING% - 83, 147%USER_ID% - 80AAbfrage - 142AktivierenIdentitätsrichtlinien - 231Aktivierter ParameterAudit-Elemente - 245, 247Aktiviertes FeldIdentitätsrichtlinien - 231AnmeldeseitenAnpassen - 342AuditAktivieren für Aufgaben - 254Auditeinstellungsdatei - 244Wissenswertes - 243Audit-DatenWissenswertes - 243AuditeinstellungsdateiWissenswertes - 244Audit-ElementWissenswertes - 245AuditEvent-ElementWissenswertes - 247auditlevel-ParameterAudit-Elemente - 245AufgabenAudit ermöglichen - 254E-Mail-Benachrichtigungen angeben - 230Authentifizierungsschemen - 342BBekanntes Identitätsrichtlinien-Attribut (Feld) - 231Benutzerdefinierte EinstellungenImportieren und Exportieren - 241BereicheAuthentifizierungsschemen konfigurieren - 342CCA IdentityMinder-BenutzerkonsoleZugreifen - 198CA IdentityMinder-UmgebungenAudit - 243Authentifizierungsschema konfigurieren - 342Zugreifen - 198CA IdentityMinder-VerzeichnisseValidierungsregelsätze anzeigen - 185ClassFilters - 88DDatenquellenparameterAudit-Elemente - 246directory.xmlKonventionen - 53Selbstabonnierende Gruppen konfigurieren - 89,149displayNameImsManagedObjectAttr-Anweisungen - 123Dynamische GruppenKonfigurieren - 89Index 383

EEreignisseE-Mail-Benachrichtigungen angeben - 230Erweiterte Einstellungen (Bildschirm)Wissenswertes - 227EventState-ElementWissenswertes - 252ExportierenBenutzerdefinierte Einstellungen - 241GGroupClassFilters - 88GruppenDynamische Gruppen konfigurieren - 89Selbstabonnierende Gruppen konfigurieren - 149Verschachtelte Gruppen konfigurieren - 89Gruppenname - 142HhiddenImsManagedObjectAttr-Anweisungen - 123IIdentitätsrichtlinienKonfiguriereinstellungen - 231ImportierenBenutzerdefinierte Einstellungen - 241ImsManagedObject - 118ImsManagedObjectAttr - 123KKennwort vergessen (Aufgabe)Zugreifen - 198Klasse eines Objekts - 142Klassenname - 142LLdapMatchUserDn - 88LogOffURIWissenswertes - 342MmaxlengthImsManagedObjectAttr-Anweisungen - 123maxrows - 58mehrwertigNImsManagedObjectAttr-Anweisungen - 123NameImsManagedObject-Parameter - 121NamensparameterAuditEvent-Elemente - 247EventState-Elemente - 252OObjecttypeImsManagedObject-Parameter - 121Ö ffentliche AufgabenZugreifen - 198org (Parameter)Selbstabonnierende Gruppen - 149OrgClassFilters - 88PpermissionImsManagedObjectAttr-Anweisungen - 123physicalnameImsManagedObjectAttr-Anweisungen - 123PolicyClassFilters - 88PolicyResolution - 88RREADONLY - 123READWRITE - 123Rekursionsebene (Feld) - 231requiredImsManagedObjectAttr-Anweisungen - 123SsAMAccountName - 78SCCSchweregrad eines Ereignisses festlegen - 252Schreibzugriff - 142Schweregrad-AttributEventState-Element - 252Selbstabonnierende GruppenKonfigurieren - 149SelbstregistrierungZugreifen - 198SelbstregistrierungsaufgabenZugreifen - 198SiteMinder384 Konfigurationshandbuch

Authentifizierungsschemen konfigurieren - 342SQL select-Befehl - 142SQL update-Befehl - 142systemImsManagedObjectAttr-Anweisungen - 123TTypenparameterSelbstabonnierende Gruppen - 89, 149UURLsManagement-Konsole - 16Zugreifen auf CA IdentityMinder-Umgebungen -198userAttribute - 142name - 142VValidierungsregelsätzeAnzeigen - 185valuetypeImsManagedObjectAttr-Anweisungen - 123Verbindungszeitlimit - 58Verschachtelte GruppenKonfigurieren - 89VerwaltungsdatenWissenswertes - 243VerwaltungskonsoleValidierungsregelsätze anzeigen - 185Zugreifen - 16VerzeichniskonfigurationsdateienSelbstabonnierende Gruppen konfigurieren - 89,149WwellknownImsManagedObjectAttr-Anweisungen - 123Wert einer Eigenschaft - 142WRITEONCE - 123ZZeichenfolgenwerte - 142Index 385